Sie sind auf Seite 1von 1076

Guide d'administration de la plateforme de Business Intelligence

SAP BusinessObjects Business Intelligence platform 4.0 Feature Pack 3


2012-05-10
2012 SAP AG. Tous droits rservs.SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign,
SAP BusinessObjects Explorer, StreamWork, SAP HANA et les autres produits et services SAP
Copyright
mentionns dans ce document, ainsi que leurs logos respectifs, sont des marques commerciales ou
des marques dposes de SAP AG en Allemagne ainsi que dans d'autres pays. Business Objects
et le logo Business Objects, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence,
Xcelsius et les autres produits et services Business Objects mentionns dans ce document, ainsi
que leurs logos respectifs, sont des marques commerciales ou des marques dposes de Business
Objects Software Ltd. Business Objects est une socit du Groupe SAP. Sybase et Adaptive Server,
iAnywhere, Sybase 365, SQL Anywhere, et les autres produits et services Sybase mentionns dans
ce document, ainsi que leurs logos respectifs, sont des marques commerciales ou des marques
dposes de Sybase, Inc. Sybase est une socit du Groupe SAP. Crossgate, m@gic EDDY, B2B
360, B2B 360 Services sont des marques commerciales ou des marques dposes de Crossgate
AG en Allemagne ainsi que dans d'autres pays. Crossgate est une socit du Groupe SAP. Tous les
autres noms de produits et de services mentionns sont des marques commerciales ou des marques
dposes de leurs entreprises respectives. Les donnes contenues dans ce document sont
uniquement mentionnes titre informatif. Les spcifications des produits peuvent varier d'un pays
l'autre. Les informations du prsent document sont susceptibles d'tre modifies sans pravis.
Elles sont fournies par SAP AG et ses filiales ( Groupe SAP ) uniquement titre informatif, sans
engagement ni garantie d'aucune sorte. Le Groupe SAP ne pourra en aucun cas tre tenu pour
responsable des erreurs ou omissions relatives ces informations. Les seules garanties fournies
pour les produits et les services du Groupe SAP sont celles nonces expressment titre de
garantie accompagnant, le cas chant, lesdits produits et services. Aucune des informations
contenues dans ce document ne saurait constituer une garantie supplmentaire.
2012-05-10
Table des matires
Historique du document........................................................................................................19 Chapitre 1
Dmarrage............................................................................................................................21 Chapitre 2
A propos de cette aide...........................................................................................................21
2.1
A qui s'adresse cette aide ?...................................................................................................21
2.1.1
A propos de la plateforme SAP BusinessObjects Business Intelligence ................................21
2.1.2
Variables................................................................................................................................22
2.1.3
Avant de commencer.............................................................................................................22
2.2
Notions cls...........................................................................................................................23
2.2.1
Outils d'administration cls.....................................................................................................25
2.2.2
Tches cls............................................................................................................................27
2.2.3
Architecture...........................................................................................................................31 Chapitre 3
Prsentation de l'architecture.................................................................................................31
3.1
Schma d'architecture...........................................................................................................32
3.1.1
Niveaux d'architecture............................................................................................................33
3.1.2
Bases de donnes.................................................................................................................35
3.1.3
Serveurs................................................................................................................................36
3.1.4
Serveurs d'applications Web..................................................................................................36
3.1.5
Kits de dveloppement logiciel...............................................................................................38
3.1.6
Sources de donnes..............................................................................................................40
3.1.7
Authentification et connexion unique......................................................................................41
3.1.8
Intgration SAP......................................................................................................................43
3.1.9
Gestion du cycle de vie (LCM)...............................................................................................44
3.1.10
Contrle de version intgre..................................................................................................45
3.1.11
Chemin de mise niveau.......................................................................................................45
3.1.12
Services et serveurs..............................................................................................................45
3.2
Modifications des serveurs depuis la version XI 3.1...............................................................47
3.2.1
Services.................................................................................................................................49
3.2.2
Catgories de service............................................................................................................58
3.2.3
Types de serveurs..................................................................................................................61
3.2.4
Serveurs................................................................................................................................64
3.2.5
2012-05-10 3
Applications client..................................................................................................................67
3.3
Installes avec les outils client de la plateforme SAP BusinessObjects Business Intelligence..68
3.3.1
Installes avec la plateforme SAP BusinessObjects Business Intelligence.............................72
3.3.2
Disponibles sparment.........................................................................................................74
3.3.3
Clients d'applications Web.....................................................................................................75
3.3.4
Workflows de processus........................................................................................................79
3.4
Dmarrage et authentification................................................................................................79
3.4.1
Objets de programme............................................................................................................81
3.4.2
Crystal Reports......................................................................................................................82
3.4.3
Web Intelligence....................................................................................................................87
3.4.4
Analyse..................................................................................................................................89
3.4.5
Gestion des licences.............................................................................................................91 Chapitre 4
Gestion des cls de licence...................................................................................................91
4.1
Pour afficher les informations de licence................................................................................91
4.1.1
Pour ajouter une cl de licence...............................................................................................91
4.1.2
Pour visualiser l'activit du compte actuel..............................................................................92
4.1.3
Mesure des licences..............................................................................................................92
4.2
Excution d'un audit de licences.............................................................................................93
4.2.1
Gestion des utilisateurs et des groupes...............................................................................95 Chapitre 5
Prsentation de la gestion des comptes.................................................................................95
5.1
Gestion des utilisateurs..........................................................................................................95
5.1.1
Gestion des groupes..............................................................................................................96
5.1.2
Types d'authentification disponibles ......................................................................................97
5.1.3
Gestion des comptes Enterprise et des comptes gnraux....................................................99
5.2
Pour crer un compte d'utilisateur..........................................................................................99
5.2.1
Pour modifier un compte d'utilisateur...................................................................................100
5.2.2
Pour supprimer un compte d'utilisateur................................................................................101
5.2.3
Pour crer un groupe...........................................................................................................102
5.2.4
Pour modifier les proprits d'un groupe..............................................................................102
5.2.5
Pour afficher les membres d'un groupe................................................................................103
5.2.6
Pour ajouter des sous-groupes............................................................................................103
5.2.7
Pour dfinir l'appartenance un groupe................................................................................103
5.2.8
Pour supprimer un groupe....................................................................................................104
5.2.9
Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc..............................................104
5.2.10
Pour activer le compte Guest...............................................................................................105
5.2.11
Ajout d'utilisateurs des groupes.........................................................................................106
5.2.12
Modification des paramtres de mot de passe.....................................................................107
5.2.13
Octroi d'un droit d'accs des utilisateurs et des groupes................................................109
5.2.14
2012-05-10 4
Table des matires
Contrle de l'accs aux botes de rception des utilisateurs.................................................109
5.2.15
Configuration des options de la zone de lancement BI.........................................................109
5.2.16
Gestion des attributs des utilisateurs systme ....................................................................114
5.2.17
Classement des attributs utilisateur entre plusieurs options d'authentification......................115
5.2.18
Pour ajouter un nouvel attribut utilisateur..............................................................................115
5.2.19
Pour modifier les attributs utilisateur tendus.......................................................................116
5.2.20
Gestion des alias.................................................................................................................117
5.3
Pour crer un utilisateur et ajouter un alias tiers...................................................................117
5.3.1
Pour crer un alias pour un utilisateur existant......................................................................118
5.3.2
Pour affecter un alias d'un autre utilisateur...........................................................................119
5.3.3
Pour supprimer un alias........................................................................................................119
5.3.4
Pour dsactiver un alias.......................................................................................................120
5.3.5
Dfinition des droits............................................................................................................121 Chapitre 6
Fonctionnement des droits sur la plateforme de BI...............................................................121
6.1
Niveaux d'accs...................................................................................................................122
6.1.1
Dfinition de droits avancs.................................................................................................122
6.1.2
Hritage...............................................................................................................................123
6.1.3
Droits spcifiques au type....................................................................................................129
6.1.4
Dtermination des droits effectifs........................................................................................130
6.1.5
Gestion des paramtres de scurit des objets dans la CMC..............................................131
6.2
Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet.............................131
6.2.1
Pour affecter des utilisateurs ou groupes principaux une liste de contrle d'accs d'un objet.132
6.2.2
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet...............................133
6.2.3
Dfinition des droits sur un dossier de niveau suprieur dans la plateforme de BI................133
6.2.4
Vrification des paramtres de scurit pour un utilisateur ou un groupe principal...............134
6.2.5
Utilisation des niveaux d'accs.............................................................................................137
6.3
Choisir entre les niveaux d'accs Visualiser et Visualiser la demande...............................140
6.3.1
Pour copier un niveau d'accs existant.................................................................................141
6.3.2
Pour crer un niveau d'accs ..............................................................................................142
6.3.3
Pour renommer un niveau d'accs........................................................................................142
6.3.4
Pour supprimer un niveau d'accs........................................................................................142
6.3.5
Pour modifier les droits d'un niveau d'accs.........................................................................143
6.3.6
Suivi de la relation entre niveaux d'accs et objets...............................................................144
6.3.7
Gestion des niveaux d'accs sur diffrents sites..................................................................144
6.3.8
Rupture de l'hritage............................................................................................................145
6.4
Dsactiver l'hritage............................................................................................................146
6.4.1
Utilisation des droits pour dlguer l'administration..............................................................147
6.5
Choisir entre les options Modifier les droits des utilisateurs sur les objets...........................149
6.5.1
Droits de propritaire...........................................................................................................150
6.5.2
Rcapitulatif des recommandations concernant l'administration des droits...........................151
6.6
2012-05-10 5
Table des matires
Scurisation de la plateforme de BI....................................................................................153 Chapitre 7
Prsentation de la scurit ..................................................................................................153
7.1
Planification de rcupration d'urgence................................................................................153
7.2
Recommandations gnrales pour la scurit de votre dploiement.....................................154
7.3
Configuration de la scurit pour les serveurs tiers fournis..................................................155
7.4
Relation de confiance active.................................................................................................155
7.5
Jetons de connexion............................................................................................................156
7.5.1
Systme de ticket pour la scurit distribue.......................................................................157
7.5.2
Sessions et suivi de session................................................................................................157
7.6
Suivi de session du CMS.....................................................................................................158
7.6.1
Protection de l'environnement..............................................................................................158
7.7
Du navigateur Web au serveur Web.....................................................................................158
7.7.1
Serveur Web vers la plateforme de BI..................................................................................159
7.7.2
Audit des modifications de la configuration de scurit .......................................................159
7.8
Audit de l'activit Web.........................................................................................................160
7.9
Protection contre les tentatives de connexion malveillantes.................................................160
7.9.1
Restrictions relatives aux mots de passe.............................................................................160
7.9.2
Restrictions relatives aux connexions...................................................................................161
7.9.3
Restrictions relatives aux utilisateurs....................................................................................161
7.9.4
Restrictions relatives au compte Guest................................................................................161
7.9.5
Extensions de traitement......................................................................................................162
7.10
Prsentation de la scurit des donnes de la plateforme de BI...........................................162
7.11
Modes de scurit du traitement des donnes.....................................................................163
7.11.1
Cryptographie sur la plateforme de BI..................................................................................165
7.12
Utilisation de cls de cluster.................................................................................................166
7.12.1
Agents de cryptographie......................................................................................................168
7.12.2
Gestion des cls de cryptage dans la CMC.........................................................................170
7.12.3
Configuration des serveurs pour SSL...................................................................................175
7.13
Cration de fichiers de cl et de certificat............................................................................175
7.13.1
Configuration du protocole SSL...........................................................................................177
7.13.2
Description de la communication entre les composants de la plateforme de BI....................182
7.14
Prsentation des serveurs de la plateforme de BI et des ports de communication...............182
7.14.1
Communication entre les composants de la plateforme de BI .............................................185
7.14.2
Configuration de la plateforme de BI pour les pare-feu.........................................................192
7.15
Pour configurer le systme pour des pare-feu......................................................................193
7.15.1
Dbogage d'un dploiement quip d'un pare-feu................................................................196
7.15.2
Exemples de scnarios classiques de pare-feu.....................................................................197
7.16
Exemple - Niveau application dploy sur un rseau distinct................................................198
7.16.1
Exemple : Client lourd et niveau base de donnes spars des serveurs de la plateforme de BI
par un pare-feu.....................................................................................................................200
7.16.2
2012-05-10 6
Table des matires
Paramtres de pare-feu pour les environnements intgrs...................................................203
7.17
Instructions propres au pare-feu pour l'intgration SAP........................................................203
7.17.1
Configuration du pare-feu pour l'intgration JD Edwards EnterpriseOne...............................205
7.17.2
Instructions propres au pare-feu pour Oracle EBS................................................................207
7.17.3
Configuration du pare-feu pour l'intgration PeopleSoft Enterprise ......................................208
7.17.4
Configuration du pare-feu pour l'intgration Siebel...............................................................210
7.17.5
Plateforme de Business Intelligence et serveurs proxy inverses ..........................................212
7.18
Serveurs proxy inverses pris en charge ...............................................................................212
7.18.1
Description du dploiement des applications Web ..............................................................213
7.18.2
Configuration des serveurs proxy inverses pour les applications Web de la plateforme de Business
Intelligence...........................................................................................................................213
7.19
Instructions dtailles relatives la configuration des serveurs proxy inverses.....................213
7.19.1
Pour configurer le serveur proxy inverse..............................................................................214
7.19.2
Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de BI : ..................215
7.19.3
Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de BI : ..............215
7.19.4
Pour configurer Microsoft ISA 2006 pour la plateforme de Business Intelligence ................216
7.19.5
Configuration spciale de la plateforme de BI dans les dploiements de serveurs proxy
inverses...............................................................................................................................218
7.20
Activation du proxy inverse pour les services Web...............................................................218
7.20.1
Activation du chemin racine des cookies de session pour ISA 2006.....................................220
7.20.2
Activation du proxy inverse pour SAP BusinessObjects Live Office.....................................223
7.20.3
Authentification...................................................................................................................225 Chapitre 8
Options d'authentification dans la plateforme de BI..............................................................225
8.1
Authentification primaire.......................................................................................................226
8.1.1
Plug-ins de scurit..............................................................................................................227
8.1.2
Connexion unique la plateforme de BI...............................................................................228
8.1.3
Authentification Enterprise...................................................................................................230
8.2
Prsentation de l'authentification Enterprise.........................................................................230
8.2.1
Paramtres d'authentification Enterprise..............................................................................231
8.2.2
Modification des paramtres d'Enterprise.............................................................................232
8.2.3
Activation de l'authentification scurise..............................................................................233
8.2.4
Configuration de l'authentification scurise pour une application Web................................235
8.2.5
Authentification LDAP..........................................................................................................245
8.3
Utilisation de l'authentification LDAP....................................................................................245
8.3.1
Configuration de l'authentification LDAP..............................................................................247
8.3.2
Mappage des groupes LDAP...............................................................................................257
8.3.3
Authentification Windows AD...............................................................................................267
8.4
Prsentation.........................................................................................................................267
8.4.1
Prparation l'authentification AD (Kerberos)......................................................................271
8.4.2
Connexion unique d'authentification AD...............................................................................281
8.4.3
2012-05-10 7
Table des matires
Mappage des groupes AD et configuration de l'authentification AD.....................................292
8.4.4
Dpannage de l'authentification Windows AD......................................................................297
8.4.5
Authentification SAP............................................................................................................298
8.5
Configuration de l'authentification SAP ................................................................................299
8.5.1
Cration d'un compte utilisateur pour la plateforme de BI.....................................................300
8.5.2
Connexion aux systmes d'autorisation de SAP...................................................................301
8.5.3
Dfinition des options d'authentification SAP.......................................................................303
8.5.4
Importation de rles SAP.....................................................................................................307
8.5.5
Configuration de la communication rseau scurise (SNC)................................................312
8.5.6
Configuration de la connexion unique au systme SAP........................................................325
8.5.7
Configuration de la connexion unique pour SAP Crystal Reports et SAP NetWeaver...........329
8.5.8
Authentification PeopleSoft..................................................................................................330
8.6
Prsentation.........................................................................................................................330
8.6.1
Activation de l'authentification PeopleSoft Enterprise...........................................................331
8.6.2
Mappage de rles PeopleSoft la plateforme de BI.............................................................331
8.6.3
Planification de mises jour utilisateur.................................................................................335
8.6.4
Utilisation de la passerelle de scurit PeopleSoft...............................................................337
8.6.5
Authentification JD Edwards................................................................................................348
8.7
Prsentation gnrale..........................................................................................................348
8.7.1
Activation de l'authentification JD Edwards EnterpriseOne...................................................348
8.7.2
Mappage de rles JD Edwards EnterpriseOne la plateforme de BI....................................349
8.7.3
Planification de mises jour utilisateur.................................................................................352
8.7.4
Authentification Siebel.........................................................................................................354
8.8
Activation de l'authentification Siebel...................................................................................354
8.8.1
Mappage de rles la plateforme de BI...............................................................................355
8.8.2
Planification de mises jour utilisateur.................................................................................358
8.8.3
Authentification Oracle EBS.................................................................................................360
8.9
Activation de l'authentification Oracle EBS...........................................................................360
8.9.1
Mappage de rles Oracle E-Business Suite la plateforme de BI.........................................361
8.9.2
Dmappage de rles ...........................................................................................................365
8.9.3
Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mapps ................366
8.9.4
Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS..................367
8.9.5
Administration du serveur...................................................................................................369 Chapitre 9
Administration des serveurs.................................................................................................369
9.1
Utilisation de la zone de gestion Serveurs de la CMC..........................................................369
9.1.1
Gestion des serveurs l'aide de scripts sous Windows ......................................................373
9.1.2
Gestion des serveurs sous UNIX ........................................................................................373
9.1.3
Gestion des cls de licence.................................................................................................373
9.1.4
Mesure des licences............................................................................................................375
9.1.5
Affichage et modification du statut d'un serveur...................................................................376
9.1.6
2012-05-10 8
Table des matires
Ajout, clonage ou suppression de serveurs..........................................................................381
9.1.7
Mise en cluster de Central Management Servers.................................................................385
9.1.8
Gestion des groupes de serveurs........................................................................................389
9.1.9
Evaluation des performances du systme.............................................................................394
9.1.10
Configuration des paramtres des serveurs.........................................................................396
9.1.11
Configuration des paramtres rseau du serveur.................................................................400
9.1.12
Gestion des nuds.............................................................................................................408
9.1.13
Renommage d'un ordinateur dans un dploiement de plateforme de BI................................432
9.1.14
Utilisation des bibliothques tierces 32 bits et 64 bits avec la plateforme de BI....................438
9.1.15
Gestion des espaces rservs de nuds et de serveurs.....................................................439
9.1.16
Gestion des bases de donnes du Central Management Server (CMS)............................441 Chapitre 10
Gestion des connexions la base de donnes systme du CMS.........................................441
10.1
Slection de SAP HANA comme base de donnes du CMS................................................441
10.1.1
Slection d'une base de donnes CMS (nouvelle ou existante)...........................................442
10.2
Pour slectionner une base de donnes de CMS nouvelle ou existante sous Windows.......443
10.2.1
Slection d'une base de donnes du CMS nouvelle ou existante sous UNIX.......................443
10.2.2
Recration de la base de donnes systme du CMS...........................................................444
10.3
Pour recrer la base de donnes systme du CMS sous Windows.....................................445
10.3.1
Recration de la base de donnes systme du CMS sous UNIX.........................................445
10.3.2
Copie de donnes d'une base de donnes systme d'un CMS dans une autre....................446
10.4
Prparation de la copie d'une base de donnes systme du CMS.......................................447
10.4.1
Pour copier une base de donnes systme du CMS sous Windows....................................447
10.4.2
Copie de donnes d'une base de donnes systme du CMS sous UNIX.............................448
10.4.3
Gestion des serveurs conteneurs d'applications Web (WACS)..........................................449 Chapitre 11
WACS.................................................................................................................................449
11.1
Serveur conteneur d'applications Web (WACS)...................................................................449
11.1.1
Ajout ou suppression de serveurs WACS votre dploiement............................................453
11.1.2
Ajout ou suppression de services aux serveurs WACS........................................................457
11.1.3
Configuration HTTPS/SSL...................................................................................................459
11.1.4
Mthodes d'authentification prises en charge.......................................................................463
11.1.5
Configuration d'AD Kerberos pour un serveur WACS .........................................................464
11.1.6
Configuration de la connexion unique Kerberos AD .............................................................470
11.1.7
Configuration des services Web RESTful.............................................................................472
11.1.8
Configuration des serveurs WACS dans votre environnement informatique.........................477
11.1.9
Configuration des proprits d'applications Web..................................................................480
11.1.10
Dpannage..........................................................................................................................481
11.1.11
Proprits des serveurs WACS...........................................................................................485
11.1.12
2012-05-10 9
Table des matires
Sauvegarde et restauration.................................................................................................487 Chapitre 12
Sauvegarde et restauration de votre systme......................................................................487
12.1
Sauvegardes........................................................................................................................488
12.1.1
Restauration du systme......................................................................................................495
12.1.2
Scripts BackupCluster et RestoreCluster.............................................................................503
12.1.3
Copie du dploiement.........................................................................................................507 Chapitre 13
Prsentation de la copie du systme....................................................................................507
13.1
Terminologie........................................................................................................................507
13.2
Cas d'utilisation....................................................................................................................507
13.3
Planification de la copie du systme.....................................................................................509
13.4
Remarques et restrictions....................................................................................................510
13.5
Procdure de copie du systme...........................................................................................512
13.6
Exportation d'une copie du systme partir d'un systme source........................................512
13.6.1
Importation d'une copie de systme vers un systme cible..................................................515
13.6.2
Gestion des versions...........................................................................................................519 Chapitre 14
Gestion des diffrentes versions de ressources BI .............................................................519
14.1
Utilisation de l'option Paramtres du systme de gestion des versions................................520
14.2
Configuration du systme de gestion des versions ClearCase dans Windows.....................521
14.2.1
Configuration du systme de gestion des versions ClearCase dans Unix.............................521
14.2.2
Comparaison de diffrentes versions d'un travail LCM.........................................................522
14.3
Mise niveau du contenu de Subversion.............................................................................522
14.4
Gestion de la promotion......................................................................................................525 Chapitre 15
Bienvenue dans la gestion de la promotion...........................................................................525
15.1
Prsentation de la Gestion de la promotion..........................................................................525
15.1.1
Fonctionnalits de gestion de la promotion...........................................................................525
15.1.2
Droits d'accs d'application..................................................................................................526
15.1.3
Introduction l'outil de gestion de la promotion....................................................................527
15.2
Accs l'application de gestion de la promotion..................................................................527
15.2.1
Composants de l'interface utilisateur....................................................................................527
15.2.2
Utilisation de l'option Paramtres.........................................................................................529
15.2.3
Utilisation de l'outil de gestion de la promotion.....................................................................536
15.3
Cration et suppression d'un dossier...................................................................................537
15.3.1
Cration d'une tche............................................................................................................538
15.3.2
Cration d'un travail en copiant un travail existant ...............................................................540
15.3.3
Recherche d'un travail..........................................................................................................541
15.3.4
Modification d'un travail........................................................................................................542
15.3.5
2012-05-10 10
Table des matires
Ajout d'un InfoObject dans la gestion de la promotion..........................................................542
15.3.6
Gestion des dpendances dans la gestion de la promotion .................................................543
15.3.7
Recherche d'objets dpendants ..........................................................................................544
15.3.8
Promotion d'un travail quand les rfrentiels sont connects...............................................545
15.3.9
Promotion d'un travail l'aide d'un fichier BIAR....................................................................547
15.3.10
Planification d'une promotion de travail.................................................................................550
15.3.11
Visualiser l'historique d'un travail..........................................................................................551
15.3.12
Reprise d'un travail...............................................................................................................552
15.3.13
Gestion de diffrentes versions d'un InfoObject...................................................................554
15.4
Droits d'accs l'application de la gestion des versions.......................................................556
15.4.1
Sauvegarde et restauration des fichiers de sous-version......................................................557
15.4.2
Utilisation de l'option Ligne de commande............................................................................558
15.5
Excution de l'option de ligne de commande sous Windows................................................558
15.5.1
Excution de l'option de ligne de commande sous UNIX......................................................559
15.5.2
Paramtres d'option de ligne de commande.........................................................................559
15.5.3
Exemple de fichier de proprits..........................................................................................567
15.5.4
Utilisation du CTS (Change and Transport System) amlior...............................................567
15.6
Conditions pralables...........................................................................................................568
15.6.1
Configuration d'intgration de la plateforme de Business Intelligence et de CTS+................569
15.6.2
Promotion d'un travail l'aide du CTS..................................................................................572
15.6.3
Diffrence visuelle..............................................................................................................577 Chapitre 16
Diffrence visuelle dans l'outil de gestion de la promotion....................................................577
16.1
Comparaison d'objets ou de fichiers l'aide de la diffrence visuelle...................................578
16.1.1
Comparaison d'objets ou de fichiers dans le systme de gestion des versions....................579
16.1.2
Planification de la comparaison.............................................................................................580
16.1.3
Gestion des applications.....................................................................................................583 Chapitre 17
Gestion des applications via la CMC....................................................................................583
17.1
Prsentation.........................................................................................................................583
17.1.1
Paramtres courants pour les applications...........................................................................584
17.1.2
Paramtres spcifiques aux applications..............................................................................586
17.1.3
Gestion des applications via les proprits du fichier BOE.war.............................................616
17.2
Fichier war BOE...................................................................................................................616
17.2.1
Personnalisation des points d'entre de connexion de la zone de lancement BI et
OpenDocument....................................................................................................................626
17.3
Emplacements des fichiers Zone de lancement BI et OpenDocument..................................626
17.3.1
Pour dfinir une page de connexion personnalise...............................................................628
17.3.2
Pour ajouter l'authentification scurise la connexion........................................................628
17.3.3
2012-05-10 11
Table des matires
Gestion des connexions et des univers..............................................................................631 Chapitre 18
Gestion des connexions.......................................................................................................631
18.1
Pour supprimer une connexion d'univers..............................................................................631
18.1.1
Gestion des univers.............................................................................................................632
18.2
Pour supprimer des univers..................................................................................................632
18.2.1
Surveillance.........................................................................................................................635 Chapitre 19
A propos de la surveillance..................................................................................................635
19.1
Terminologie de la surveillance.............................................................................................635
19.2
Architecture.........................................................................................................................637
19.2.1
Prise en charge de cluster pour serveur de surveillance.......................................................640
19.3
Mtriques............................................................................................................................641
19.4
Mtriques de requtes CMS................................................................................................653
19.4.1
Proprits de configuration..................................................................................................653
19.5
URL du point de terminaison JMX........................................................................................658
19.5.1
Intgration d'autres applications........................................................................................659
19.6
Intgration de l'application de surveillance IBM Tivoli.........................................................659
19.6.1
Intgration de l'application de surveillance SAP Solution Manager ....................................662
19.6.2
Cration d'un univers pour une base de donnes Derby.......................................................663
19.7
Prise en charge de la base de donnes d'audit pour l'application de surveillance .................664
19.8
Conditions obligatoires.........................................................................................................665
19.8.1
Configuration de fichiers SBO..............................................................................................665
19.8.2
Ajout de noms d'alias dans le fichier SBO ...........................................................................666
19.8.3
Migration de base de donnes de surveillance.....................................................................667
19.9
Conditions pralables...........................................................................................................668
19.9.1
Prparation de la base de donnes cible .............................................................................668
19.9.2
Cration de vidages CSV.....................................................................................................668
19.9.3
Restauration de contenu dans la base de donnes cible.......................................................669
19.9.4
Validation de la migration ....................................................................................................670
19.9.5
Dpannage..........................................................................................................................670
19.10
Tableau de bord...................................................................................................................670
19.10.1
Alertes.................................................................................................................................671
19.10.2
Liste de veille.......................................................................................................................671
19.10.3
Tests....................................................................................................................................672
19.10.4
Mtriques............................................................................................................................673
19.10.5
Graphique............................................................................................................................673
19.10.6
Audit....................................................................................................................................675 Chapitre 20
Prsentation.........................................................................................................................675
20.1
2012-05-10 12
Table des matires
Page Audit de la CMC.........................................................................................................681
20.2
Rsum du statut de l'audit..................................................................................................681
20.2.1
Configuration des vnements d'audit..................................................................................683
20.2.2
Paramtres de configuration des magasins de donnes d'audit............................................685
20.2.3
Evnements d'audit..............................................................................................................687
20.3
Evnements et dtails d'audit...............................................................................................697
20.3.1
Recherche de plateformes..................................................................................................717 Chapitre 21
Description de la recherche de plateformes.........................................................................717
21.1
SDK de recherche de plateformes.......................................................................................717
21.1.1
Environnement en cluster.....................................................................................................718
21.1.2
Installation de la recherche de plateformes...........................................................................718
21.2
Dploiement d'OpenSearch.................................................................................................718
21.2.1
Configuration du proxy inverse.............................................................................................720
21.2.2
Configuration des proprits de l'application dans la CMC...................................................721
21.2.3
Utilisation de la recherche de plateformes............................................................................727
21.3
Indexation de contenu dans le rfrentiel CMS....................................................................727
21.3.1
Recherche des rsultats......................................................................................................728
21.3.2
Intgration de la recherche de plateformes SAP NetWeaver Enterprise Search................736
21.4
Cration d'un connecteur dans SAP NetWeaver Enterprise Search ....................................736
21.4.1
Importation d'un rle d'utilisateur dans l'authentification SAP BusinessObjects Business
Intelligence...........................................................................................................................737
21.4.2
Recherche depuis NetWeaver Enterprise Search.................................................................738
21.5
Audit....................................................................................................................................738
21.6
Dpannage..........................................................................................................................740
21.7
Auto-gurison......................................................................................................................740
21.7.1
Scnarios de problmes.......................................................................................................740
21.7.2
Fdration...........................................................................................................................743 Chapitre 22
Fdration............................................................................................................................743
22.1
Terminologie Fdration.......................................................................................................744
22.2
Application BI ......................................................................................................................745
22.2.1
Site de destination ..............................................................................................................745
22.2.2
Local....................................................................................................................................745
22.2.3
Instances finalises excutes localement ..........................................................................745
22.2.4
Sites d'origine multiples ......................................................................................................745
22.2.5
Rplication unidirectionnelle ................................................................................................746
22.2.6
Site d'origine .......................................................................................................................746
22.2.7
Distant.................................................................................................................................746
22.2.8
Connexion distance...........................................................................................................746
22.2.9
2012-05-10 13
Table des matires
Planification distance.........................................................................................................746
22.2.10
Rplication...........................................................................................................................747
22.2.11
Travail de rplication.............................................................................................................747
22.2.12
Liste de rplication...............................................................................................................747
22.2.13
Objet de rplication..............................................................................................................747
22.2.14
Lot de rplications................................................................................................................747
22.2.15
Actualisation de la rplication...............................................................................................748
22.2.16
Rplication bidirectionnelle...................................................................................................748
22.2.17
Gestion des droits de scurit.............................................................................................748
22.3
Droits requis sur le site d'origine..........................................................................................748
22.3.1
Droits requis sur le site de destination.................................................................................749
22.3.2
Droits spcifiques Fdration............................................................................................750
22.3.3
Rplication de la scurit sur un objet..................................................................................752
22.3.4
Rplication de la scurit l'aide des niveaux d'accs..........................................................753
22.3.5
Options de types et de mode de rplication.........................................................................753
22.4
Rplication unidirectionnelle ................................................................................................754
22.4.1
Rplication bidirectionnelle ..................................................................................................754
22.4.2
Actualiser partir du site d'origine ou Actualiser partir de la destination............................755
22.4.3
Rplication d'utilisateurs et de groupes tiers........................................................................756
22.5
Rplication des univers et des connexions d'univers............................................................757
22.6
Gestion des listes de rplication..........................................................................................758
22.7
Cration de listes de rplication...........................................................................................759
22.7.1
Modification des listes de rplication....................................................................................761
22.7.2
Gestion des connexions distance......................................................................................762
22.8
Cration de connexions distance.......................................................................................763
22.8.1
Modification des connexions distance...............................................................................765
22.8.2
Gestion des travaux de rplication.......................................................................................765
22.9
Cration de travaux de rplication........................................................................................765
22.9.1
Planification de travaux de rplication...................................................................................768
22.9.2
Modification des travaux de rplication.................................................................................769
22.9.3
Visualisation d'un journal aprs un travail de rplication........................................................770
22.9.4
Gestion du nettoyage des objets..........................................................................................771
22.10
Utilisation du nettoyage des objets.......................................................................................771
22.10.1
Limites du nettoyage des objets...........................................................................................772
22.10.2
Frquence de nettoyage des objets.....................................................................................772
22.10.3
Gestion de la dtection et de la rsolution des conflits.........................................................773
22.11
Rsolution des conflits de rplication unidirectionnelle.........................................................773
22.11.1
Rsolution des conflits de rplication bidirectionnelle...........................................................775
22.11.2
Utilisation des services Web dans Fdration......................................................................778
22.12
Variables de session ...........................................................................................................779
22.12.1
Mise en cache des fichiers ..................................................................................................779
22.12.2
2012-05-10 14
Table des matires
Dploiement personnalis ...................................................................................................780
22.12.3
Planification distance et instances excutes localement..................................................780
22.13
Planification distance.........................................................................................................781
22.13.1
Instances excutes localement...........................................................................................782
22.13.2
Partage d'instances..............................................................................................................783
22.13.3
Importation et promotion de contenu rpliqu......................................................................784
22.14
Importation de contenu rpliqu...........................................................................................784
22.14.1
Importation de contenu rpliqu et rplication continue .......................................................784
22.14.2
Promotion de contenu partir d'un environnement de test...................................................785
22.14.3
Redirection d'un site de destination......................................................................................786
22.14.4
Meilleures pratiques.............................................................................................................786
22.15
Limites de la version actuelle................................................................................................789
22.15.1
Dpannage des messages d'erreur......................................................................................790
22.15.2
Configurations supplmentaires pour les environnements Enterprise Resource Planning.795 Chapitre 23
Configurations pour l'intgration SAP NetWeaver................................................................795
23.1
Intgration SAP NetWeaver Business Warehouse (BW)...................................................795
23.1.1
Configuration pour l'intgration JD Edwards.........................................................................847
23.2
Configuration de la connexion unique pour SAP Crystal Reports..........................................848
23.2.1
Configuration SSL pour les intgrations JD Edwards...........................................................848
23.2.2
Configuration pour l'intgration PeopleSoft Enterprise.........................................................850
23.3
Configuration de la connexion unique pour SAP Crystal Reports et PeopleSoft Enterprise...850
23.3.1
Configuration de la communication Secure Socket Layer.....................................................851
23.3.2
Ajustement des performances pour les systmes PeopleSoft..............................................853
23.3.3
Configuration pour l'intgration Siebel..................................................................................855
23.4
Configuration de Siebel pour l'intgration la plateforme SAP BusinessObjects Business
Intelligence...........................................................................................................................855
23.4.1
Cration de l'lment de menu Crystal Reports...................................................................856
23.4.2
Reconnaissance contextuelle...............................................................................................857
23.4.3
Configuration de la connexion unique pour SAP Crystal Reports et Siebel...........................860
23.4.4
Configuration de la communication Secure Sockets Layer...................................................860
23.4.5
Gestion et configuration des journaux................................................................................863 Chapitre 24
Journalisation des traces de composants.............................................................................863
24.1
Niveaux de journal des vnements.....................................................................................863
24.2
Configuration du suivi pour les serveurs...............................................................................864
24.3
Pour dfinir le niveau du journal des vnements du serveur dans la CMC..........................865
24.3.1
Pour dfinir le niveau du journal des vnements de plusieurs serveurs grs dans la CMC.866
24.3.2
Pour configurer le suivi de serveur via le fichier Bo_trace.ini.................................................866
24.3.3
Configuration du suivi pour les applications Web..................................................................869
24.4
2012-05-10 15
Table des matires
Pour dfinir le niveau de journalisation des vnements des applications Web dans la CMC.870
24.4.1
Pour modifier manuellement les paramtres de suivi par le bais du fichier BO_trace.ini........870
24.4.2
Configuration du suivi pour l'outil de gestion de mise niveau..............................................876
24.5
Pour configurer le suivi pour l'outil de gestion de mise niveau............................................876
24.5.1
Intgration SAP Solution Manager...................................................................................879 Chapitre 25
Prsentation de l'intgration.................................................................................................879
25.1
Liste de vrification de l'intgration SAP Solution Manager..................................................879
25.2
Gestion de l'enregistrement du rpertoire du paysage systme...........................................881
25.3
Enregistrement de la plateforme de BI dans le paysage systme.........................................881
25.3.1
Dclenchement de l'enregistrement SLD.............................................................................882
25.3.2
Connexion de la connectivit SLD .......................................................................................883
25.3.3
Gestion des agents Solution Manager Diagnostics..............................................................883
25.4
Prsentation de Solution Manager Diagnostics (SMD).........................................................883
25.4.1
Utilisation des agents SMD..................................................................................................884
25.4.2
Compte utilisateur SMAdmin...............................................................................................884
25.4.3
Gestion de l'instrumentation des performances....................................................................885
25.5
Instrumentation de performances pour la plateforme de Business Intelligence.....................885
25.5.1
Configuration de l'instrumentation de performances pour la plateforme de Business
Intelligence...........................................................................................................................886
25.5.2
Instrumentation de performances pour le niveau Web..........................................................887
25.5.3
Fichiers journaux d'instrumentation ......................................................................................887
25.5.4
Suivi avec le Passeport SAP................................................................................................888
25.6
Administration de la ligne de commande............................................................................889 Chapitre 26
Scripts UNIX........................................................................................................................889
26.1
Utilitaires de script...............................................................................................................889
26.1.1
Modles de scripts..............................................................................................................895
26.1.2
Scripts utiliss par la plateforme SAP BusinessObjects Business Intelligence......................896
26.1.3
Scripts Windows..................................................................................................................897
26.2
ccm.exe...............................................................................................................................898
26.2.1
Lignes de commande des serveurs......................................................................................901
26.3
Prsentation des lignes de commande.................................................................................901
26.3.1
Options standard communes tous les serveurs.................................................................902
26.3.2
Central Management Server................................................................................................904
26.3.3
Crystal Reports Processing Server et Crystal Reports Cache Server..................................905
26.3.4
Serveur de traitement Dashboards et Dashboards Cache Server........................................906
26.3.5
Job Servers.........................................................................................................................907
26.3.6
Serveur de traitement adaptatif............................................................................................909
26.3.7
Report Application Server....................................................................................................909
26.3.8
2012-05-10 16
Table des matires
Web Intelligence Processing Server.....................................................................................911
26.3.9
Input et Output File Repository Servers...............................................................................912
26.3.10
Event Server........................................................................................................................913
26.3.11
Serveurs Dashboard Server et Dashboard Analytics Server ...............................................913
26.3.12
Annexe relative aux droits...................................................................................................915 Chapitre 27
A propos de l'annexe relative aux droits...............................................................................915
27.1
Droits gnraux...................................................................................................................915
27.2
Droits sur les types d'objet spcifiques................................................................................918
27.3
Droits d'accs aux dossiers.................................................................................................918
27.3.1
Catgories...........................................................................................................................918
27.3.2
Remarques..........................................................................................................................919
27.3.3
Rapports Crystal..................................................................................................................920
27.3.4
Documents Web Intelligence................................................................................................920
27.3.5
Utilisateurs et groupes.........................................................................................................922
27.3.6
Niveaux d'accs...................................................................................................................923
27.3.7
Droits d'univers (.unv)..........................................................................................................924
27.3.8
Droits d'univers (.unx)..........................................................................................................926
27.3.9
Niveaux d'accs aux objets d'univers...................................................................................928
27.3.10
Droits de connexion.............................................................................................................929
27.3.11
Applications.........................................................................................................................931
27.3.12
Annexe relative aux proprits des serveurs.......................................................................945 Chapitre 28
A propos de l'annexe relative aux proprits des serveurs...................................................945
28.1
Proprits courantes du serveur..........................................................................................945
28.1.1
Proprits des services principaux.......................................................................................948
28.1.2
Proprits des services de connectivit...............................................................................965
28.1.3
Proprits des services Crystal Reports..............................................................................970
28.1.4
Proprits d'Analysis Services.............................................................................................980
28.1.5
Proprits des services de fdration de donnes...............................................................982
28.1.6
Proprits des services Web Intelligence.............................................................................983
28.1.7
Proprits des services Dashboards....................................................................................995
28.1.8
Annexe mtrique systme...................................................................................................999 Chapitre 29
A propos de l'annexe Mtriques du serveur.........................................................................999
29.1
Mtriques communes du serveur ........................................................................................999
29.1.1
Mtriques du Central Management Server.........................................................................1002
29.1.2
Mtrique de Connection Server.........................................................................................1007
29.1.3
Mtriques de l'Event Server ..............................................................................................1008
29.1.4
Mtriques du File Repository Server..................................................................................1008
29.1.5
2012-05-10 17
Table des matires
Mtriques du serveur de traitement adaptatif.....................................................................1009
29.1.6
Mtriques de serveurs conteneurs d'applications Web......................................................1015
29.1.7
Mtriques d'Adaptative Job Server....................................................................................1015
29.1.8
Mtriques de Crystal Report Server...................................................................................1018
29.1.9
Mtriques de Web Intelligence Server ...............................................................................1021
29.1.10
Mtriques du serveur Dashboards.....................................................................................1023
29.1.11
Annexe relative aux espaces rservs de nuds et de serveurs......................................1027 Chapitre 30
Espaces rservs de nud et de serveur..........................................................................1027
30.1
Annexe relative au schma de magasin de donnes d'audit.............................................1041 Chapitre 31
Prsentation.......................................................................................................................1041
31.1
Diagramme de schma.......................................................................................................1041
31.2
Tables du magasin de donnes d'audit...............................................................................1042
31.3
Feuille de calcul Copie du systme..................................................................................1053 Chapitre 32
Feuille de calcul Copie du systme.....................................................................................1053
32.1
Informations supplmentaires...........................................................................................1055 Annexe A
Index 1057
2012-05-10 18
Table des matires
Historique du document
La table suivante fournit un rcapitulatif des principales modifications effectues dans le document :
Description Date Version
Premire version de ce document. Nov. 2011
Plateforme SAPBusi-
nessObjects 4.0 de
Business Intelligence
2012-05-10 19
Historique du document
Description Date Version
Ajouts cette version :
Importation d'utilisateurs et de groupes en bloc l'aide de la CCM, voir
Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc.
Extension des attributs pour les comptes utilisateur imports et Enter-
prise, voir Gestion des attributs des utilisateurs systme .
Utilisation du plug-in LDAP pour configurer la connexion unique la
base de donnes SAP HANA via JDBC, voir "".
SQL Anywhere est maintenant disponible comme source de donnes
ODBC. Pour la gestion des nuds avec SQL Anywhere sur les ordina-
teurs UNIX, voir Pour prparer un ordinateur sous Unix pour SQL
Anywhere.
Meilleures pratiques conues pour empcher les problmes suite aux
changements de noms d'ordinateur, d'adresses IP, de noms de cluster
et de noms de serveurs, voir "Renaming a machine in a BI platform
deployment".
Pour slectionner SAP HANA comme base de donnes du CMS aprs
l'installation initiale de la plateforme de BI, voir Slection de SAP HANA
comme base de donnes du CMS.
Configuration du service Web RESTful hberg sur un serveur WACS,
voir Configuration des services Web RESTful.
Excution d'une "sauvegarde chaud", cration d'une copie de sauve-
garde sans avoir arrter les serveurs, voir Sauvegardes chaud.
Cration d'une copie d'un dploiement de la plateforme de BI des fins
de test, mise en veille ou autre, voir Prsentation de la copie du sys-
tme.
Activation et configuration des dtails d'intgration pour l'application
SAP StreamWork, voir Gestion de l'intgration SAP StreamWork.
Cration et affectation des tches aux administrateurs dlgus, voir
Administration dlgue et accs aux onglets de la CMC.
Un mcanisme d'autortablissement pour la Recherche de plateformes
est maintenant disponible, voir Auto-gurison.
Mars 2012
Plateforme SAPBusi-
nessObjects Business
Intelligence 4.0 Fea-
ture Pack 3
le contenu suivant a t supprim :
Toutes les rfrences aux licences bases sur les rles, comptes utili-
sateur d'analyste BI et visualiseur BI.
2012-05-10 20
Historique du document
Dmarrage
2.1 A propos de cette aide
Cette aide prsente les informations et procdures relatives au dploiement et la configuration de
votre plateforme de BI. Les procdures dcrivent les tches courantes. Des informations d'ordre
conceptuel et des dtails techniques se rapportent aux questions plus labores.
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme SAP
BusinessObjects Business Intelligence.
2.1.1 A qui s'adresse cette aide ?
Cette aide prsente les tches de dploiement et de configuration. Nous vous recommandons de
consulter ce guide si vous :
planifiez votre premier dploiement ;
configurez votre premier dploiement ;
apportez d'importantes modifications l'architecture d'un dploiement existant ;
amliorez les performances de votre systme.
Cette aide en ligne s'adresse aux administrateurs systme responsables de la configuration, de la
gestion et de la maintenance d'une installation de la plateforme de BI. La matrise de votre systme
d'exploitation et de votre environnement rseau est des plus utiles, tout comme une connaissance
gnrale des technologies relatives la gestion des serveurs d'applications Web et la rdaction de
scripts. Toutefois, cette aide, qui tient compte des diffrents niveaux d'exprience administrative, a
pour objectif de fournir des informations contextuelles et conceptuelles suffisantes pour clarifier
l'ensemble des fonctions et des tches administratives.
2.1.2 A propos de la plateforme SAP BusinessObjects Business Intelligence
2012-05-10 21
Dmarrage
La plateforme de BI est une solution souple, volutive et fiable permettant de fournir des rapports
interactifs puissants aux utilisateurs finaux via n'importe quelle application Web, notamment un intranet,
un extranet, Internet ou un portail d'entreprise. Qu'elle soit utilise pour diffuser des rapports de ventes
hebdomadaires, fournir aux clients des services personnaliss ou intgrer des informations importantes
dans des portails d'entreprise, la plateforme de BI offre des avantages concrets qui dpassent le simple
cadre de l'entreprise. Suite intgre spcialise dans le reporting, l'analyse et la diffusion d'informations,
la plateforme permet aux utilisateurs finaux d'augmenter leur productivit tout en rduisant les tches
administratives.
2.1.3 Variables
Les variables suivantes sont utilises dans ce guide :
Description Variable
Rpertoire dans lequel est installe la plateforme de BI. Sous Windows, le rper-
toire par dfaut est : C:\Program Files (x86)\SAP BusinessObjects\.
REPINSTALL
Nom de votre systme d'exploitation Unix. Les valeurs acceptes sont les suiva-
ntes :
aix_rs6000_64
linux_x64
solaris_sparcv9
hpux_ia64
<REPPLATE
FORME64>
Rpertoire o sont situs les scripts pour la gestion de la plateforme de BI.
Sous Windows : <REPINSTALL>\SAP BusinessObjects Enterprise
XI 4.0\win64_x64\scripts
Sous UNIX : <REPINSTALL>/sap_bobj/enterprise_xi40/<REPPLATE
FORME64>/scripts
<REPSCRIPT>
2.2 Avant de commencer
2012-05-10 22
Dmarrage
2.2.1 Notions cls
2.2.1.1 Services et serveurs
La plateforme de BI utilise les termes service et serveur pour faire rfrence aux deux types de logiciels
s'excutant sur l'ordinateur d'une plateforme de BI.
Un service est un sous-systme de serveur qui excute une fonction spcifique. Le service s'excute
dans l'espace mmoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification Web Intelligence est un sous-systme qui s'excute sur l'Adaptive
Job Server.
Un serveur est un processus au niveau du systme d'exploitation (on l'appelle dmon sur certains
systmes) qui hberge un ou plusieurs services. Par exemple, le CMS (Central Management Server)
et le serveur de traitement adaptatif (Adaptive Processing Server) sont des serveurs. Un serveur
s'excute sur un compte de systme d'exploitation spcifique et possde son propre PID.
Un nud est un ensemble de serveurs de la plateforme de BI qui s'excutent tous sur le mme hte
et sont grs par le mme SIA (Server Intelligence Agent). Un mme hte peut contenir un ou plusieurs
nuds.
La plateforme de BI peut tre installe sur un seul ordinateur ou bien rpartie sur plusieurs ordinateurs
d'un intranet ou d'un rseau tendu (WAN).
Services, serveurs, nuds et htes
Le diagramme suivant illustre une hypothse d'installation de la plateforme de BI. Le nombre de services,
serveurs, nuds et htes, ainsi que le type des services et serveurs, varie dans les installations relles.
2012-05-10 23
Dmarrage
Deux htes forment le cluster nomm ProductionBISystem :
L'hte nomm HostAlpha comporte l'installation de la plateforme de BI et il est configur avec deux
nuds :
NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de
planification et publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entre, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
L'hte nomm HostBeta comporte l'installation de la plateforme de BIet il est configur avec trois
nuds :
NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalits
d'quilibrage des charges, d'attnuation et de basculement.
2012-05-10 24
Dmarrage
NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web
Intelligence) avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
Rubriques associes
Administration des serveurs
2.2.1.2 Server Intelligence
Server Intelligence est un composant central de la plateforme de Business Intelligence. Les modifications
des processus des serveurs appliques dans la CMC(Central Management Console) sont rpercutes
sur les objets serveur correspondants par le CMS. Le Server Intelligence Agent (SIA) est utilis pour
redmarrer ou arrter automatiquement un serveur lorsqu'il rencontre une condition inattendue et il est
utilis par l'administrateur pour grer un nud.
Le CMS archive les informations sur les serveurs dans la base de donnes du CMS, si bien que vous
pouvez facilement restaurer les paramtres par dfaut des serveurs ou crer des instances redondantes
des processus serveur avec les mmes paramtres. Comme le SIA interroge priodiquement le CMS
pour demander des informations sur les serveurs qu'il gre, le SIA connat l'tat dans lequel doivent
tre les serveurs et le moment o appliquer une action.
Remarque :
Un seul ordinateur peut contenir plusieurs nuds, qui peuvent tre dans le mme cluster de la plateforme
de BI ou dans diffrents clusters.
2.2.2 Outils d'administration cls
2.2.2.1 Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web utiliser pour effectuer les tches
administratives (dont la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les
paramtres de scurit. La CMC tant une application Web, vous pouvez effectuer toutes les tches
2012-05-10 25
Dmarrage
d'administration dans un navigateur Web, sur tout ordinateur pouvant se connecter au serveur
d'applications Web.
Tous les utilisateurs peuvent se connecter la CMC pour modifier leurs propres paramtres de
prfrences. Seuls les membres du groupe Administrateurs peuvent modifier les paramtres de gestion,
moins que les droits pour le faire ne soient explicitement accords un utilisateur. Des rles peuvent
tre affects dans la CMC afin d'accorder des droits d'utilisateurs pour effectuer des tches
administratives mineures comme la gestion des utilisateurs d'un groupe ou des rapports dans les
dossiers appartenant une quipe.
2.2.2.2 Central Configuration Manager
Le CCM(Central Configuration Manager) est un outil de gestion de nuds et de dpannage de serveurs
propos sous deux formes. Sous Windows, vous utilisez le CCM pour grer les serveurs locaux et
distants dans l'interface utilisateur (IU) du CCM ou partir d'une ligne de commande. Sous UNIX, vous
utilisez le script shell du CCM (ccm.sh) pour grer les serveurs partir d'une ligne de commande.
Le CCMpermet de crer et configurer les nuds et aussi de dmarrer ou arrter le serveur d'applications
Web, si c'est le serveur d'applications Web Tomcat fourni par dfaut. Sous Windows, vous pouvez
utiliser le CCM pour configurer les paramtres rseau comme le cryptage SSL (Secure Socket Layer).
Les paramtres s'appliquent tous les serveurs d'un nud.
Remarque :
La plupart des tches de gestion des serveurs sont gres dans la CMC, et non dans le CCM. Le CCM
est utilis pour le dpannage et la configuration des nuds.
2.2.2.3 Outil de diagnostic de rfrentiel
L'outil de diagnostic de rfrentiel permet d'analyser, de diagnostiquer et de rparer les incohrences
qui peuvent se produire entre la base de donnes systme du CMS ( Central Management Server) et
le stockage des fichiers FRS (File Repository Servers). Vous pouvez dfinir une limite pour le nombre
d'erreurs trouves et rpares par le RDT avant l'arrt.
Le RDT doit tre utilis avant la restauration du systme de la plateforme de BI.
2.2.2.4 Outil de gestion de mise niveau
2012-05-10 26
Dmarrage
L'Outil de gestion de mise niveau (anciennement Assistant d'importation) est install dans le cadre
de la plateforme SAP BusinessObjects Business Intelligence et guide les administrateurs tout au long
du processus d'importation des utilisateurs, groupes et dossiers des versions prcdentes de la
plateforme SAP BusinessObjects Business Intelligence. Il permet galement l'importation et la mise
niveau des objets, vnements, groupes de serveurs, objets de rfrentiel et calendriers.
Pour en savoir plus sur la mise niveau partir d'une version antrieure de la plateforme SAP
BusinessObjects Business Intelligence, voir le Guide de mise niveau de la plateforme SAP
BusinessObjects Business Intelligence.
2.2.3 Tches cls
Selon votre situation, vous pouvez consulter des sections spcifiques de cette aide et accder d'autres
ressources disponibles. Pour chacune des situations ci-aprs, une liste de tches suggres et de
rubriques consulter vous est propose.
Rubriques associes
Planification ou excution de votre premier dploiement
Configuration de votre dploiement
Amlioration des performances du systme
2.2.3.1 Planification ou excution de votre premier dploiement
Si vous planifiez ou effectuez votre premier dploiement de la plateforme de BI, accomplissez les tches
suivantes et lisez les rubriques conseilles :
Prsentation de l'architecture
Description de la communication entre les composants de la plateforme de BI
Prsentation de la scurit
Si vous prvoyez d'utiliser une authentication tierce, Options d'authentification dans la plateforme
de BI
Aprs l'installation, Administration des serveurs
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme de Business
Intelligence. Pour identifier vos besoins et concevoir une architecture de dploiement, Guide de
planification de la plateforme de Business Intelligence
2012-05-10 27
Dmarrage
Rubriques associes
Prsentation de l'architecture
Description de la communication entre les composants de la plateforme de BI
Prsentation de la scurit
Options d'authentification dans la plateforme de BI
Administration des serveurs
2.2.3.2 Configuration de votre dploiement
Si vous avez termin l'installation de la plateforme de BI et que vous devez effectuer les tches de
configuration initiales, telles que la configuration du pare-feu et la gestion des utilisateurs, nous vous
recommandons de lire les sections suivantes.
Rubriques associes
Administration des serveurs
Communication entre les composants de la plateforme de BI
Prsentation de la scurit
A propos de la surveillance
2.2.3.3 Amlioration des performances du systme
Si vous souhaitez valuer l'efficacit de votre dploiement et l'amliorer afin d'optimiser les ressources,
nous vous recommandons de lire les sections suivantes :
Si vous souhaitez surveiller votre systme, consultez Surveillance.
Pour en savoir plus sur les tches et procdures quotidiennes d'utilisation des serveurs dans la
CMC, consultez Maintenance des serveurs.
Rubriques associes
A propos de la surveillance
Administration des serveurs
2012-05-10 28
Dmarrage
2.2.3.4 Utilisation des objets dans la CMC
Si vous utilisez des objets dans la CMC, lisez les sections suivantes :
Pour en savoir plus sur la configuration des utilisateurs et des groupes dans la CMC, voir
Prsentation de la gestion des comptes.
Pour dfinir une scurit sur les objets, voir Fonctionnement des droits dans BusinessObjects
Enterprise
Pour obtenir des informations gnrales sur l'utilisation des objets, voir le Guide de l'utilisateur de
la plateforme SAP BusinessObjects Business Intelligence.
Rubriques associes
Prsentation de la gestion des comptes
Fonctionnement des droits sur la plateforme de BI
2012-05-10 29
Dmarrage
2012-05-10 30
Dmarrage
Architecture
3.1 Prsentation de l'architecture
Cette section dcrit les composants de l'architecture globale de la plateforme, ainsi que les composants
systme et de service qui constituent la plateforme SAP BusinessObjects Business Intelligence. Ces
informations permettent aux administrateurs de mieux comprendre les bases du systme et d'laborer
un plan de dploiement, de gestion et de maintenance du systme.
Remarque :
Pour afficher une liste des plateformes, langues, bases de donnes, serveurs d'applications Web,
serveurs Web et autres systmes pris en charge par cette version, voir la Matrice de disponibilit des
produits (plateformes prises en charge/PAR), disponible dans la section SAP BusinessObjects du SAP
Support Portal l'adresse : https://service.sap.com/bosap-support.
La plateforme SAP BusinessObjects Business Intelligence est conue pour fournir des performances
leves dans une large gamme de scnarios utilisateur et de dploiement. Par exemple, les services
de plateforme spcialiss traitent soit l'accs aux donnes et la gnration de rapports la demande,
soit la planification de rapports en fonction des heures et des vnements. Vous pouvez transfrer les
oprations de traitement et de planification consommatrices de temps processeur en crant des serveurs
ddis pour hberger des services spcifiques. L'architecture est conue pour rpondre aux besoins
de quasiment tout dploiement BI et est suffisamment flexible pour passer de quelques utilisateurs
avec un seul outil des dizaines de milliers d'utilisateurs avec plusieurs outils et interfaces.
Les dveloppeurs peuvent intgrer la plateforme SAP BusinessObjects Business Intelligence aux autres
systmes technologiques de votre organisation l'aide d'API (Application Programming Interfaces) de
services Web, Java ou .NET.
Les utilisateurs finaux peuvent accder aux rapports, en crer, en modifier et interagir avec ceux-ci
l'aide d'outils et d'applications spcialiss, notamment :
Les clients installs par le programme d'installation des outils client de la plateforme de Business
Intelligence :
Web Intelligence Rich Client
Gestionnaire de vues d'entreprise
Outil de conversion de rapport
Outil de conception d'univers
Query as a Web Service
Outil de conception d'information (anciennement Information Designer)
Outil de gestion de la traduction (anciennement Gestionnaire de traduction)
Widgets (anciennement BI Widgets)
2012-05-10 31
Architecture
Clients disponibles sparment :
SAP Crystal Reports
SAP BusinessObjects Dashboards (anciennement Xcelsius)
SAP BusinessObjects Analysis (anciennement Voyager)
Espaces de travail BI (anciennement Dashboard Builder)
Les services informatiques peuvent utiliser les outils de gestion de systmes et de donnes suivants :
Visualiseurs de rapports
Central Management Console (CMC)
Central Configuration Manager (CCM)
Repository Diagnostic Tool (RDT, outil de diagnostic de rfrentiel)
Outil d'administration de fdration de donnes
Outil de gestion de mise niveau (anciennement Assistant d'importation)
Outil de conception d'univers (anciennement Universe Designer)
SAP BusinessObjects Mobile
Pour garantir la flexibilit, la fiabilit et l'volutivit, les composants de la plateforme SAPBusinessObjects
Business Intelligence peuvent tre installs sur un ou plusieurs ordinateurs. Vous pouvez mme installer
deux versions diffrentes de la plateforme de Business Intelligence simultanment sur le mme
ordinateur, bien que cette configuration soit uniquement recommande dans le cadre du processus de
mise niveau ou des fins de test.
Les processus serveur peuvent tre tendus verticalement (c'est--dire qu'un ordinateur excute
plusieurs processus ct serveur, voire tous) pour rduire les cots ou tendus horizontalement
(c'est--dire que les processus serveur sont rpartis entre au moins deux ordinateurs en rseau) pour
amliorer les performances. Il est galement possible d'excuter plusieurs versions redondantes d'un
mme processus serveur sur plusieurs ordinateurs de sorte que le traitement puisse se poursuivre si
un problme survient au niveau du premier processus.
Remarque :
Bien qu'il soit possible d'utiliser la fois des plateformes Windows et Unix ou Linux, il est recommand
de ne pas utiliser de systmes d'exploitation diffrents pour les processus CMS (Central Management
Server).
3.1.1 Schma d'architecture
La plateforme SAP BusinessObjects Business Intelligence dsigne une plateforme de Business
Intelligence (BI) qui fournit des outils d'analyse et de reporting au niveau de l'entreprise. Les donnes
peuvent tre analyses partir d'un grand nombre de systmes de bases de donnes pris en charge
(y compris des systmes OLAP de texte ou multidimensionnels) et les rapports BI peuvent tre publis
dans diffrents formats sur divers systmes de publication.
Le graphique ci-dessous illustre la manire dont la plateforme de BI s'adapte l'infrastructure de votre
organisation.
2012-05-10 32
Architecture
Conseil :
Interagit avec une vue plus dtaille de tous les composants et serveurs de la plateforme de BI l'aide
du Interactive architecture diagram sur le rseau de la communaut SAP.
La plateforme de BI effectue des rapports partir d'une connexion en lecture seule aux bases de
donnes de votre organisation et utilise ses propres bases de donnes pour stocker ses informations
de configuration, d'audit et autres informations oprationnelles. Les rapports BI crs par le systme
peuvent tre envoys vers de nombreuses destinations, y compris les systmes de fichiers et courriers
lectroniques, ou tre accessibles par le biais de sites Web ou de portails.
La plateforme de BI est un systme autonome qui peut exister sur un seul ordinateur (par exemple,
sous forme de petit environnement de dveloppement ou d'environnement de test de pr-production)
ou qui peut tre mis l'chelle dans un cluster de plusieurs ordinateurs excutant diffrents composants
(par exemple, sous forme d'environnement de production grande chelle).
3.1.2 Niveaux d'architecture
La plateforme SAP BusinessObjects Business Intelligence peut tre considre comme une srie de
niveaux conceptuels.
2012-05-10 33
Architecture
Niveau client
Le niveau client contient toutes les applications de bureau client qui interagissent avec la plateforme
SAP BusinessObjects Business Intelligence pour fournir diverses capacits de reporting, d'analyse et
d'administration. Parmi les exemples : Central Configuration Manager (programme d'installation de la
plateforme de BI), outil de conception d'information (programme d'installation des outils client de la
plateforme de BI) et SAP Crystal Reports 2011 (disponible et install sparment).
Niveau Web
Le niveau Web contient les applications Web dployes sur un serveur d'applications Web Java. Les
applications Web fournissent les fonctionnalits de la plateforme SAP BusinessObjects Business
Intelligence aux utilisateurs finaux via un navigateur Web. Les exemples d'applications Web comprennent
l'interface Web d'administration de la CMC (Central Management Console) et la zone de lancement
BI.
Le niveau Web contient galement des services Web. Les services Web fournissent les fonctionnalits
de la plateforme SAP BusinessObjects Business Intelligence aux outils logiciels via le serveur
d'applications Web, par exemple l'authentification de session, la gestion des droits utilisateur, la
planification, la recherche, l'administration, le reporting et la gestion des requtes. Par exemple, Live
Office est un produit qui utilise les services Web pour intgrer le reporting de la plateforme SAP
BusinessObjects Business Intelligence aux produits Microsoft Office.
Niveau gestion
Le niveau de gestion (galement nomm niveau d'intelligence) coordonne et commande tous les
composants qui constituent la plateforme SAP BusinessObjects Business Intelligence. Il comprend le
CMS (Central Management Server) et l'Event Server, ainsi que les services associs. Le CMS fournit
la gestion de la scurit et des informations de configuration, envoie des demandes de service aux
serveurs, gre l'audit, ainsi que la base de donnes systme du CMS. L'Event Server gre les
vnements bass sur des fichiers qui se produisent dans le niveau de stockage.
Niveau stockage
Le niveau de stockage est responsable de la gestion des fichiers tels que les documents et les rapports.
L'Input File Repository Server gre les fichiers contenant les informations utilises dans les rapports,
comme les types de fichiers suivants : .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt,
.pdf, .wid, .rep, .unv.
L'Output File Repository Server gre les rapports crs par le systme, comme les types de fichiers
suivants : .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
Le niveau de stockage gre galement la mise en mmoire cache des rapports afin d'conomiser les
ressources systme lorsque les utilisateurs accdent aux rapports.
Niveau traitement
Le niveau de traitement analyse les donnes et gnre les rapports. Il s'agit du seul niveau qui accde
directement aux bases de donnes contenant les donnes des rapports. Ce niveau comprend l'Adaptive
Job Server, le Connection Server (32 et 64 bits) et des serveurs de traitement comme le serveur de
traitement adaptatif ou le serveur de traitement Crystal Reports.
2012-05-10 34
Architecture
Niveau donnes
Le niveau donnes contient les donnes de votre rapport actuel et du systme. Par exemple, les
donnes de rapports des bases de donnes relationnelles, des sources de donnes OLAP et des
fichiers d'univers actuels (.unx et .unv). Ou les bases de donnes systme du CMS, du magasin de
donnes d'audit, de la console de gestion du cycle de vie et de l'application de surveillance.
3.1.3 Bases de donnes
La plateforme SAPBusinessObjects Business Intelligence utilise plusieurs bases de donnes diffrentes.
Base de donnes de reporting
Elle fait rfrence aux informations de votre entreprise. Il s'agit des informations source faisant l'objet
des analyses et rapports de la suite SAP BusinessObjects Business Intelligence. Le plus souvent,
les informations sont stockes dans une base de donnes relationnelle, mais elles peuvent galement
tre contenues dans des fichiers texte, des documents Microsoft Office ou des systmes OLAP.
Base de donnes systme du CMS
La base de donnes systme du CMS est utilise pour stocker les informations de la plateforme
SAP BusinessObjects Business Intelligence telles que les renseignements d'utilisateur, de serveur,
de dossier, de document, de configuration et d'authentification. La gestion de cette base de donnes,
parfois connue sous le nom de rfrentiel systme, est assure par le CMS (Central Management
Server).
Magasin de donnes d'audit
Le magasin de donnes d'audit sert stocker des informations sur des vnements traables qui
se produisent dans la plateforme SAP BusinessObjects Business Intelligence. Ces informations
peuvent tre utilises pour contrler l'utilisation des composants systme, l'activit des utilisateurs
ou d'autres aspects des oprations quotidiennes.
Base de donnes de gestion du cycle de vie
La base de donnes de gestion du cycle de vie suit les informations de configuration et de version
relatives une installation de la plateforme SAP BusinessObjects Business Intelligence, ainsi que
les mises jour.
Base de donnes de surveillance
La surveillance utilise la base de donnes Java Derby pour stocker les informations de composants
et de configuration systme relatives aux modalits de prise en charge SAP.
Si vous ne disposez pas dj d'un serveur de base de donnes utiliser avec les bases de donnes
systme du CMS et du magasin de donnes d'audit, le programme d'installation de la plateforme SAP
BusinessObjects Business Intelligence peut en installer un et le configurer pour vous. Il est conseill
d'valuer vos besoins par rapport aux informations du fournisseur de votre serveur de base de donnes
Web pour dterminer quelle base de donnes prise en charge correspond le mieux aux besoins de
votre entreprise.
2012-05-10 35
Architecture
3.1.4 Serveurs
La plateforme SAP BusinessObjects Business Intelligence comprend des ensembles de serveurs
s'excutant sur un ou plusieurs htes. Les petites installations (comme les systmes de test ou de
dveloppement) peuvent utiliser un seul hte pour un serveur d'applications Web, un serveur de base
de donnes et tous les serveurs de la plateforme SAP BusinessObjects Business Intelligence.
Les installations moyennes et importantes peuvent utiliser des serveurs fonctionnant sur plusieurs
htes. Par exemple, un hte de serveur d'applications Web peut tre utilis en combinaison avec un
hte de serveur de la plateforme SAPBusinessObjects Business Intelligence. Cela libre des ressources
sur l'hte de serveur de la plateforme SAP BusinessObjects Business Intelligence, ce qui lui permet
de traiter plus d'informations que s'il hbergeait galement le serveur d'applications Web.
Les grandes installations peuvent disposer de plusieurs htes de serveur de la plateforme SAP
BusinessObjects Business Intelligence fonctionnant ensemble dans un cluster. Par exemple, si une
entreprise compte un grand nombre d'utilisateurs SAP Crystal Reports, des serveurs de traitement
Crystal Reports peuvent tre crs sur plusieurs htes de serveur de la plateforme SAPBusinessObjects
Business Intelligence afin de garantir des ressources disponibles en suffisance pour traiter les requtes
des clients.
Les avantages d'avoir plusieurs serveurs sont les suivants :
Amlioration des performances
Plusieurs htes de serveur de la plateforme SAP BusinessObjects Business Intelligence peuvent
traiter une file d'attente d'informations de reporting plus rapidement qu'un seul hte de serveur de
la plateforme SAP BusinessObjects Business Intelligence.
Equilibrage de charge
Si un serveur rencontre une charge plus importante que les autres serveurs d'un cluster, le CMS
envoie automatiquement le nouveau travail un serveur ayant de meilleures ressources.
Amlioration de la disponibilit
Si un serveur rencontre une condition inattendue, le CMS rachemine automatiquement le travail
vers d'autres serveurs jusqu' ce que la condition soit corrige.
3.1.5 Serveurs d'applications Web
Le serveur d'applications Web agit en tant que couche de traduction entre un navigateur Web ou une
application riche et la plateforme SAPBusinessObjects Business Intelligence. Les serveurs d'applications
Web excuts sur les systmes Windows, Unix et Linux sont pris en charge.
2012-05-10 36
Architecture
Pour obtenir une liste dtaille des serveurs d'applications Web pris en charge, consultez la Platform
Availability Matrix, disponible l'adresse http://service.sap.com/bosap-support.
Si vous ne disposez pas dj d'un serveur d'applications Web utiliser avec la plateforme SAP
BusinessObjects Business Intelligence, le programme d'installation peut installer et configurer un serveur
d'applications Web Tomcat 6. Il est conseill d'valuer vos besoins par rapport aux informations du
fournisseur de votre serveur d'applications Web pour dterminer quel serveur d'applications Web pris
en charge correspond le mieux aux besoins de votre entreprise.
Remarque :
Lors de la configuration d'un environnement de production, il est conseill d'hberger le serveur
d'applications Web sur un systme distinct. L'excution de la plateforme SAP BusinessObjects Business
Intelligence et du serveur d'applications Web sur le mme hte d'un environnement de production peut
diminuer les performances.
3.1.5.1 Service conteneur d'applications Web (WACS)
Un serveur d'applications Web est requis pour hberger les applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
Si vous tes un administrateur de serveurs d'applications Web Java expriment avec des besoins
avancs en administration, utilisez un serveur d'applications Web Java pour hberger les applications
Web la plateforme SAPBusinessObjects Business Intelligence. Si vous utilisez un systme d'exploitation
Windows pris en charge pour hberger la plateforme SAP BusinessObjects Business Intelligence et
prfrez un processus d'installation de serveur d'applications Web simple ou si vous ne disposez pas
des ressources pour grer un serveur d'applications Web Java, vous pouvez installer le WACS (Web
Application Container Service) lors de l'installation de la plateforme SAP BusinessObjects Business
Intelligence.
Le WACS est un serveur de la plateforme SAP BusinessObjects Business Intelligence qui permet aux
applications Web de la plateforme SAP BusinessObjects Business Intelligence telles que la CMC
(Central Management Console), la zone de lancement BI et les services Web, de s'excuter sans
installation pralable d'un serveur d'applications Web Java.
L'utilisation d'un serveur WACS prsente plusieurs avantages :
Les serveurs WACS sont extrmement simples installer, maintenir et configurer. Il est install et
configur par le programme d'installation de la plateforme SAPBusinessObjects Business Intelligence
et ne requiert aucune autre action pour commencer son utilisation.
Le serveur WACS ne requiert aucune comptence en administration et maintenance de serveurs
d'applications Java.
Le serveur WACS fournit une interface d'administration compatible avec d'autres serveurs de la
plateforme SAP BusinessObjects Business Intelligence.
Comme les autres serveurs de la plateforme SAP BusinessObjects Business Intelligence, le WACS
peut tre install sur un hte ddi.
2012-05-10 37
Architecture
Remarque :
Il existe certaines limites l'utilisation du serveur WACS la place d'un serveur d'applications Web
Java :
Les serveurs WACS sont uniquement disponibles sur les systmes d'exploitation Windows pris en
charge.
Les applications Web personnalises ne peuvent tre dployes sur des WACS car ils ne prennent
en charge que les applications Web installes avec la plateforme SAP BusinessObjects Business
Intelligence.
Les WACS ne peuvent pas tre utiliss avec un quilibreur de charge Apache.
Il est possible d'utiliser un serveur d'applications Web ddi en plus du WACS. Cela permet votre
serveur d'applications Web d'hberger des applications Web personnalises tandis que la CMC et les
autres applications Web de la plateforme SAP BusinessObjects Business Intelligence sont hberges
par le WACS.
3.1.6 Kits de dveloppement logiciel
Le kit de dveloppement logiciel (SDK) permet au dveloppeur d'intgrer des aspects de la plateforme
SAP BusinessObjects Business Intelligence aux applications et systmes d'une organisation.
La plateforme SAP BusinessObjects Business Intelligence offre des SDK pour le dveloppement logiciel
sur les plateformes Java et .NET.
Remarque :
Les SDK .NET de la plateforme SAP BusinessObjects Business Intelligence ne sont pas installs par
dfaut. Ils doivent tre tlchargs sur SAP Service Marketplace.
Les SDK suivants sont pris en charge par la plateforme SAP BusinessObjects Business Intelligence :
SDK Java et SDK .NET de la plateforme SAP BusinessObjects Business Intelligence.
Les SDK de la plateforme SAP BusinessObjects Business Intelligence permettent aux applications
d'excuter des tches telles que l'authentification, la gestion des sessions, l'utilisation d'objets de
rfrentiel, la planification et la publication des rapports et la gestion des serveurs.
Remarque :
Pour accder l'ensemble des fonctions de scurit, gestion des serveurs et audit, utilisez le SDK
Java.
SDK des services Web RESTful de la plateforme SAP BusinessObjects Business Intelligence
Le SDK des services Web RESTful de la plateforme de Business Intelligence permet d'accder
la plateforme de BI l'aide du protocole HTTP. Vous pouvez utiliser ce SDK pour vous connecter
la plateforme de BI, parcourir le rfrentiel de la plateforme de BI, accder des ressources et
raliser une planification des ressources de base. Vous pouvez accder ce SDK en crivant des
applications qui utilisent un langage de programmation prenant en charge le protocole HTTP ou en
utilisant un outil prenant en charge la cration de requtes HTTP.
2012-05-10 38
Architecture
SDK Java Consumer et SDK .NET Consumer de la plateforme SAP BusinessObjects Business
Intelligence
Une implmentation de services Web SOAP permettant de grer l'authentification et la scurit des
utilisateurs, l'accs aux documents et aux rapports, la planification, la publication et la gestion des
serveurs.
Les services Web de la plateforme SAP BusinessObjects Business Intelligence utilisent des normes
comme XML, SOAP, AXIS 2.0 et WSDL. La plateforme suit la spcification de services Web
WS-Interoperability Basic Profile 1.0.
Remarque :
Les applications des services Web ne sont actuellement prises en charge qu'avec les configurations
d'quilibrage de charge suivantes :
1. Persistance de l'adresse IP source.
2. Persistance des ports de destination et des ports IP sources (disponible uniquement sur le modle
Cisco Content Services Switch).
3. Persistance SSL.
4. Persistance de session base sur des cookies
Remarque :
La persistance SSL peut entraner des problmes de scurit et de fiabilit sur certains
navigateurs Web. Vrifiez auprs de votre administrateur rseau si la persistance SSL est adapte
votre organisation.
SDK Java de connexion et de pilote d'accs aux donnes
Ces SDK permettent de crer des pilotes de base de donnes pour le Connection Server et de grer
les connexions la base de donnes.
SDK Java de couche smantique
Le SDK Java de couche smantique permet de dvelopper une application Java assurant les tches
d'administration et de scurit sur les univers et connexions. Par exemple, vous pouvez implmenter
des services pour la publication d'un univers dans un rfrentiel ou l'extraction d'une connexion
scurise d'un rfrentiel votre espace de travail. Cette application peut tre intgre des
solutions de Business Intelligence intgrant la plateforme SAPBusinessObjects Business Intelligence
en tant qu'OEM.
SDK Java et .NET de Report Application Server
Les SDK de Report Application Server permettent aux applications d'ouvrir, de crer et de modifier
des rapports Crystal existants, y compris de dfinir des valeurs de paramtres, de modifier des
sources de donnes et d'exporter les donnes vers d'autres formats tels que XML, PDF, Microsoft
Word et Microsoft Excel.
Visualiseurs Java et .NET Crystal Reports
Les visualiseurs permettent aux applications d'afficher et d'exporter des rapports Crystal. Les
visualiseurs suivants sont disponibles :
Visualiseur de pages de rapport DHTML : prsente les donnes et permet l'exploration, la
navigation, le zoom, les invites, la recherche, la mise en surbrillance, l'exportation et l'impression.
2012-05-10 39
Architecture
Visualiseur de parties de rapport : permet de visualiser des parties de rapport, notamment des
diagrammes, du texte et des champs.
SDK Java et .NET du moteur de rapport
Les SDK du moteur de rapport permettent aux applications d'interagir avec des rapports crs avec
SAP BusinessObjects Web Intelligence.
Les SDK du moteur de rapport incluent des bibliothques pouvant tre utilises pour gnrer un
outil de conception de rapports Web. Les applications gnres avec ces SDK permettent de
visualiser, crer ou modifier diffrents documents de SAP BusinessObjects Web Intelligence. Les
utilisateurs peuvent modifier les documents en ajoutant, supprimant ou modifiant des objets tels
que des tableaux, des diagrammes, des conditions et des filtres.
SDK de recherche de plateformes : le kit de dveloppement de recherche de plateformes est
l'interface entre l'application client et le service de recherche de plateformes. La recherche de
plateformes prend en charge le SDK public intgr au SDK de recherche de plateformes.
Lorsqu'un paramtre de requte de recherche est envoy via l'application client la couche du SDK,
cette dernire convertit le paramtre de requte au format cod XML et le transmet au service de
recherche de plateformes.
Les SDK peuvent tre utiliss ensemble pour offrir un vaste choix de fonctions BI pour vos applications.
Pour en savoir plus sur ces SDK, notamment les guides du dveloppeur et rfrences d'API,
voir :http://help.sap.com
3.1.7 Sources de donnes
3.1.7.1 Univers
L'univers simplifie les oprations sur les donnes en utilisant un langage pratique plutt qu'un langage
de donnes pour permettre l'accs aux donnes, leur manipulation et leur organisation. Ce langage
pratique est stock sous forme d'objets dans un fichier d'univers. Web Intelligence et Crystal Reports
utilisent des univers pour simplifier le processus de cration utilisateur requis pour les requtes et les
analyses simples et complexes des utilisateurs finaux.
Les univers sont un composant de base de la plateforme SAP BusinessObjects Business Intelligence.
Tous les objets et connexions d'univers sont stocks et scuriss dans le rfrentiel central par le
Connection Server. Les outils de conception d'univers doivent tre connects la plateforme SAP
BusinessObjects Business Intelligence pour accder au systme et crer des univers. L'accs aux
univers et la scurit au niveau des lignes peuvent galement tre grs au niveau des groupes ou
des utilisateurs individuels depuis l'environnement de conception.
2012-05-10 40
Architecture
La couche smantique permet SAP BusinessObjects Web Intelligence de fournir des documents en
utilisant plusieurs fournisseurs de donnes synchroniss, y compris des sources de donnes OLAP
(Online Analytical Processing) et CWM (Common Warehousing Metamodel).
3.1.7.2 Vues d'entreprise
Les vues d'entreprise simplifient la cration des rapports et l'interaction entre les rapports en simplifiant
la complexit des donnes pour les dveloppeurs de rapports. Les vues d'entreprise permettent de
sparer les connexions de donnes, l'accs aux donnes, les lments d'entreprise et le contrle
d'accs.
Les vues d'entreprise peuvent uniquement tre utilises par Crystal Reports et sont conues pour
simplifier la scurit au moment de la visualisation et l'accs aux donnes requis pour la cration de
rapports Crystal. Les vues d'entreprise prennent en charge la combinaison de plusieurs sources de
donnes dans une vue unique. Les vues d'entreprise sont entirement prises en charge par la plateforme
SAP BusinessObjects Business Intelligence.
La plateforme SAP BusinessObjects Business Intelligence inclut une srie de services de gestion de
plateforme prconfigurs et ddis pour les tches telles que la gestion des mots de passe, les mtriques
de serveur et le contrle d'accs utilisateur pour les fonctions de gestion dcentralises.
3.1.8 Authentification et connexion unique
La scurit du systme est gre par le CMS (Central Management Server), des plug-ins de scurit
et des outils d'authentification tiers tels que SiteMinder ou Kerberos. Ces composants authentifient les
utilisateurs et autorisent l'accs utilisateur la plateforme SAP BusinessObjects Business Intelligence,
ses dossiers et d'autres objets.
Les plug-ins de scurit de connexion unique d'authentification utilisateur suivants sont disponibles :
Enterprise (par dfaut), y compris la prise en charge de l'Authentification scurise pour
l'authentification tierce.
LDAP
Windows AD (Active Directory)
Lors de l'utilisation d'un systme ERP (Enterprise Resource Planning), la connexion unique est utilise
pour authentifier l'accs utilisateur au systme ERP de sorte que les rapports puissent tre confronts
aux donnes ERP. Les systmes de connexion unique d'authentification utilisateur pour ERP suivants
sont pris en charge :
SAP ERP et Business Warehouse (BW)
Oracle E-Business Suite (EBS)
Siebel Enterprise
JD Edwards Enterprise One
2012-05-10 41
Architecture
PeopleSoft Enterprise
3.1.8.1 Plug-ins de scurit
Les plug-ins de scurit automatisent la cration et la gestion des comptes en permettant de mapper
les comptes utilisateur de systmes tiers la plateforme de Business Intelligence (BI). Vous pouvez
mapper des comptes utilisateur tiers des comptes utilisateur Enterprise existants, ou crer des comptes
utilisateur Enterprise qui correspondent chaque entre mappe dans le systme externe.
Les plug-ins de scurit mettent dynamiquement jour les listes d'utilisateurs et de groupes tiers. Aprs
mappage d'un groupe LDAP (Lightweight Directory Access Protocol) ou Windows AD(Active Directory)
la plateforme de BI, tous les utilisateurs appartenant ce groupe peuvent se connecter la plateforme
de BI. Les modifications apportes ultrieurement l'appartenance des groupes tiers sont
automatiquement propages.
La plateforme de BI prend en charge les plug-ins de scurit suivants :
Plug-in de scurit Enterprise
Le CMS (Central Management Server) gre les informations de scurit, telles que les comptes
utilisateur, l'appartenance aux groupes et les droits des objets qui dfinissent les droits des utilisateurs
et des groupes. On parle alors d'authentification Enterprise.
L'authentification Enterprise est toujours active, elle ne peut pas tre dsactive. Utilisez
l'authentification systme par dfaut Enterprise si vous prfrez crer des comptes et des groupes
distincts utiliser dans la plateforme SAP BusinessObjects Business Intelligence ou si vous n'avez
pas encore configur de hirarchie d'utilisateurs et de groupes sur un serveur LDAP ou Windows
AD.
L'authentification scurise est un composant de l'authentification Enterprise s'intgrant aux solutions
de connexion unique tierces, y compris JAAS (Java Authentication and Authorization Service). Les
applications qui possdent une scurit tablie avec le Central Management Server peuvent utiliser
l'authentification scurise pour permettre aux utilisateurs de se connecter sans entrer leurs mots
de passe.
Plug-in de scurit LDAP
Windows AD
Remarque :
Bien qu'un utilisateur puisse configurer une authentification Windows AD pour la plateforme SAP
BusinessObjects Business Intelligence, ainsi que des applications personnalises via la CMC, la
CMC et la zone de lancement BI ne prennent pas en charge l'authentification Windows AD avec
NTLM. Les seules mthodes d'authentification prises en charge par la CMCet la zone de lancement
BI sont Windows AD avec Kerberos, LDAP, Enterprise et l'authentification scurise.
2012-05-10 42
Architecture
3.1.8.2 Intgration de Enterprise Resource Planning (ERP)
Les applications ERP (Enterprise Resource Planning, Planification des ressources de l'entreprise)
soutiennent les fonctions essentielles des processus d'une entreprise en rassemblant des informations
en temps rel relatives aux oprations quotidiennes. La plateforme SAP BusinessObjects Business
Intelligence prend en charge la connexion unique et le reporting depuis certains systmes ERP suivants.
Voir la Product Availability Matrix (PAM) de SAP BusinessObjects BI 4.0, l'adresse : http://ser
vice.sap.com/pam.
La prise en charge SAP ERP et BW est installe par dfaut. Utilisez l'option d'installation
Personnalise/Etendue pour dslectionner la prise en charge de l'intgration SAP si vous ne souhaitez
pas la prise en charge de SAP ERP ou BW. La prise en charge des autres systmes ERP n'est pas
installe par dfaut. Utilisez l'option d'installation "Personnalise/Etendue" pour slectionner et installer
l'intgration des systmes ERP non SAP.
Pour configurer l'intgration ERP, voir le Guide d'administration de la plateforme SAP BusinessObjects
Business Intelligence.
3.1.9 Intgration SAP
La plateforme SAP BusinessObjects Business Intelligence s'intgre votre infrastructure SAP existante
avec les outils SAP suivants :
Rpertoire du paysage systme (SLD)
Le rpertoire du paysage systme de SAP NetWeaver est la source centrale des informations de
paysage systme pertinentes pour la gestion du cycle de vie du logiciel. Par le biais d'un rpertoire
contenant des informations sur tous les logiciels SAP pouvant tre installs et de donnes mises
jour automatiquement sur les systmes dj installs dans un paysage, vous disposez d'un support
outil pour planifier les tches de cycle de vie du logiciel dans votre paysage systme.
Le programme d'installation de la plateforme SAP BusinessObjects Business Intelligence enregistre
le fournisseur, les noms et les versions des produits auprs du SLD, ainsi que les noms, versions
et l'emplacement des serveurs et des composants frontaux.
SAP Solution Manager
SAP Solution Manager est une plateforme fournissant le contenu intgr, les outils et mthodologies
pour implmenter, prendre en charge, oprer et contrler les solutions SAP et non SAP d'une
entreprise.
Un logiciel non SAP avec une intgration certifie SAP est entr dans le rfrentiel central et transfr
automatiquement votre rpertoire du paysage systme SAP. Les clients SAPpeuvent alors identifier
aisment quelle version d'intgration de produit tiers a t certifie par SAP dans leur environnement
2012-05-10 43
Architecture
systme SAP. Ce service offre une connaissance supplmentaire des produits tiers outre nos
catalogues en ligne pour les produits tiers.
SAP Solution Manager est accessible aux clients SAP sans cots additionnels et comprend l'accs
direct au support SAP et aux informations de rpertoire de mise niveau des produits SAP. Pour
en savoir plus sur le rpertoire du paysage systme, voir la rubrique Enregistrement de la plateforme
SAP BusinessObjects Business Intelligence dans le paysage systme du Guide d'administration
de la plateforme SAP BusinessObjects Business Intelligence.
Transport CTS (CTS+)
Le CTS (Change and Transport System) permet d'organiser des projets de dveloppement dans
ABAP Workbench et dans le Customizing, puis de transporter les modifications entre les systmes
SAP dans votre paysage systme. Tout comme les objets ABAP, vous pouvez transporter des objets
Java (J2EE, JEE) et des technologies non ABAP spcifiques SAP (comme Web Dynpro Java ou
SAP NetWeaver Portal) dans votre paysage.
Surveillance avec CA Wily Introscope
CA Wily Introscope est un produit de gestion d'applications Web qui permet de surveiller et de
diagnostiquer les problmes de performance susceptibles de se produire dans les modules SAP
Java en production, y compris la visibilit dans les applications Java personnalises et les connexions
aux systmes dorsaux. Il permet d'isoler les goulets d'tranglement au niveau de la performance
dans les modules NetWeaver, y compris les servlets, JSP, EJB, JCO, les classes, mthodes, etc.
Il offre une surveillance en temps rel avec un temps systme rduit, une visibilit des transactions
de bout en bout, des donnes historiques pour l'analyse ou la planification de la capacit, des
tableaux de bord personnalisables, des alertes automatiques de dpassement de seuil et une
architecture ouverte pour tendre la surveillance au-del des environnements NetWeaver.
3.1.10 Gestion du cycle de vie (LCM)
La gestion du cycle de vie (LCM) fait rfrence un ensemble de processus lis la gestion des
informations produit d'une installation. Elle dfinit des procdures pour grer l'installation de la plateforme
SAP BusinessObjects Business Intelligence dans des environnements de dveloppement, de test, de
production ou de maintenance.
La console de gestion du cycle de vie de la plateforme SAP BusinessObjects Business Intelligence est
un outil Web qui permet de dplacer les objets BI d'un systme un autre sans en affecter les
dpendances. Il permet galement de grer diffrentes versions, de grer les dpendances ou de
rtablir un objet promu son tat prcdent.
L'outil LCM est un plug-in de la plateforme de BI Vous pouvez promouvoir un objet BI d'un systme
vers un autre uniquement si la mme version de l'application est installe la fois sur le systme source
et le systme de destination.
Pour en savoir plus, voir le Guide de l'utilisateur de la console de gestion du cycle de vie de la plateforme
SAP BusinessObjects Business Intelligence.
2012-05-10 44
Architecture
3.1.11 Contrle de version intgre
Les fichiers qui composent la plateforme SAP BusinessObjects Business Intelligence sur un systme
de serveur sont prsent sous contrle de version. Le programme d'installation installera et configurera
le systme de contrle de version Subversion ou vous pouvez saisir les renseignements pour utiliser
un systme de contrle de version Subversion ou ClearCase existant.
Un systme de contrle de version permet la conservation et la restauration de diverses rvisions de
configuration et d'autres fichiers, ce qui signifie qu'il est toujours possible de faire reprendre le systme
un tat connu d'un moment quelconque du pass.
3.1.12 Chemin de mise niveau
Il est possible d'effectuer une mise niveau partir d'une version antrieure de SAP BusinessObjects
Enterprise (par exemple XI 3.x), mais vous devez d'abord installer la plateforme SAP BusinessObjects
Business Intelligence 4.x, puis migrer les paramtres et les donnes de votre systme existant l'aide
de l'outil de gestion de mise niveau.
Pour en savoir plus sur la mise niveau partir d'une version antrieure, voir le Guide de mise niveau
de la plateforme SAP BusinessObjects Business Intelligence.
3.2 Services et serveurs
La plateforme de BI utilise les termes service et serveur pour faire rfrence aux deux types de logiciels
s'excutant sur l'ordinateur d'une plateforme de BI.
Un service est un sous-systme de serveur qui excute une fonction spcifique. Le service s'excute
dans l'espace mmoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification Web Intelligence est un sous-systme qui s'excute sur l'Adaptive
Job Server.
Un serveur est un processus au niveau du systme d'exploitation (on l'appelle dmon sur certains
systmes) qui hberge un ou plusieurs services. Par exemple, le CMS (Central Management Server)
et le serveur de traitement adaptatif (Adaptive Processing Server) sont des serveurs. Un serveur
s'excute sur un compte de systme d'exploitation spcifique et possde son propre PID.
Un nud est un ensemble de serveurs de la plateforme de BI qui s'excutent tous sur le mme hte
et sont grs par le mme SIA (Server Intelligence Agent). Un mme hte peut contenir un ou plusieurs
nuds.
2012-05-10 45
Architecture
La plateforme de BI peut tre installe sur un seul ordinateur ou bien rpartie sur plusieurs ordinateurs
d'un intranet ou d'un rseau tendu (WAN).
Services, serveurs, nuds et htes
Le diagramme suivant illustre une hypothse d'installation de la plateforme de BI. Le nombre de services,
serveurs, nuds et htes, ainsi que le type des services et serveurs, varie dans les installations relles.
Deux htes forment le cluster nomm ProductionBISystem :
L'hte nomm HostAlpha comporte l'installation de la plateforme de BI et il est configur avec deux
nuds :
NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de
planification et publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entre, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
2012-05-10 46
Architecture
L'hte nomm HostBeta comporte l'installation de la plateforme de BIet il est configur avec trois
nuds :
NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalits
d'quilibrage des charges, d'attnuation et de basculement.
NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web
Intelligence) avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
Rubriques associes
Administration des serveurs
3.2.1 Modifications des serveurs depuis la version XI 3.1
Le tableau suivant dcrit les principales modifications de serveurs de la plateforme de BI depuis la
version XI 3.1. Les types de modification comprennent :
Les serveurs ayant chang de nomentre deux versions tout en offrant des fonctionnalits identiques
ou similaires.
Les serveurs qui ne sont plus proposs par les nouvelles versions.
Les services communs ou associs ayant t consolids sur les serveurs Adaptive.
Par exemple, les services de planification fournis par des Job servers individuels dans la version XI 3.1
ont t dplacs vers l'Adaptive Job Server dans la version 4.0.
Les nouveaux serveurs ayant t introduits.
Tableau 3-1 : Modifications de serveur
4.0 Feature Pack 3 4.0 XI 3.1
Connection Server
Connection Server 32
Connection Server
Connection Server 32
Connection Server [1]
Adaptative Job Server Adaptative Job Server Crystal Reports Job Server
2012-05-10 47
Architecture
4.0 Feature Pack 3 4.0 XI 3.1
Serveur de traitement Crystal Re-
ports 2011
Serveur de traitement Crystal Re-
ports (pour SAP Crystal Reports,
pour les rapports Enterprise)
Serveur de traitement Crystal Re-
ports 2011
Serveur de traitement Crystal Re-
ports (pour SAP Crystal Reports,
pour les rapports Enterprise)
Crystal Reports Processing Server
Non disponible depuis la version
4.0 Feature Pack 3
Dashboard Server (espaces de
travail BI)
Dashboard Server (Dashboard
Builder) [2]
Non disponible depuis 4.0 Feature
Pack 3
Serveur d'analyses de tableaux de
bord (espaces de travail BI)
Serveur d'analyses de tableaux de
bord (Dashboard Builder) [2]
Non disponible depuis la ver-
sion 4.0
Non disponible depuis la ver-
sion 4.0
Desktop Intelligence Cache Server
[3]
Non disponible depuis la ver-
sion 4.0
Non disponible depuis la ver-
sion 4.0
Desktop Intelligence Job Server [3]
Non disponible depuis la ver-
sion 4.0
Non disponible depuis la ver-
sion 4.0
Serveur de traitement Desktop In-
telligence [3]
Adaptative Job Server Adaptative Job Server Destination Job Server
Web Intelligence Processing Server Web Intelligence Processing Server List of Values Server (LOV)
Serveur de traitement adaptatif Serveur de traitement adaptatif
Serveur Multi-Dimensional Analy-
sis Services
Adaptative Job Server Adaptative Job Server Program Job Server
Report Application Server (RAS)
de Crystal Reports 2011
Report Application Server (RAS)
de Crystal Reports 2011
Report Application Server (RAS)
Adaptative Job Server Adaptative Job Server Web Intelligence Job Server
Serveur de mise en cache Dash-
boards (Xcelsius)
Serveur de mise en cache Dash-
board Design (Xcelsius) [5]
Serveur de mise en cache Xcelsius
[4]
Serveur de traitement Dashboards
(Xcelsius)
Serveur de traitement Dashboard
Design (Xcelsius) [5]
Serveur de traitement Xcelsius [4]
[1] Dans la version 4.0, Connection Server 32 est un serveur 32 bits qui excute spcifiquement les
connexions aux sources de donnes qui ne grent pas le middleware 64 bits. Connection Server
est un serveur 64 bits qui excute les connexions vers toutes les autres sources de donnes. Pour
en savoir plus, reportez-vous au Guide d'accs aux donnes.
[2] Le serveur de tableaux de bord et le serveur d'analyses de tableaux de bord ont t supprims
dans la version 4.0 Feature Pack 3. La configuration de serveur n'est plus requise pour la
fonctionnalit des espaces de travail BI (prcdemment Dashboard Builder dans XI 3.1).
2012-05-10 48
Architecture
[3] Desktop Intelligence n'est plus disponible partir de la version 4.0. Les rapports Desktop
Intelligence peuvent tre convertis en documents Web Intelligence l'aide de l'outil de conversion
de rapport.
[4] Le cache Xcelsius et les services de traitement ont t introduits partir de la version XI 3.1
Service Pack 3 pour optimiser les requtes Query as a Web Service sur les sources de donnes
relationnelles de Xcelsius. Des services de mise en cache et de traitement quivalents sont
disponibles sur les serveurs de mise en cache et de traitement Dashboards de la version 4.0 Feature
Pack 3.
[5] Les serveurs Dashboard Design de la version 4.0 ont t renomms Dashboards dans la
version 4.0 Feature Pack 3 pour s'aligner avec le changement de nom du produit en SAP
BusinessObjects Dashboards.
3.2.2 Services
Lors de l'ajout de serveurs, vous devez inclure certains services sur l'Adaptive Job Server, par exemple,
le service de planification de livraison vers la destination.
Remarque :
De nouveaux services ou types de serveur peuvent tre ajouts dans les futures versions de
maintenance.
Description du ser-
vice
Type de serveur Catgorie de service Service
Fournit les services
de connectivit (rem-
place Connection
Server).
Serveur de traitement adapta-
tif
Services de connecti-
vit
Adaptive Connectivity
Service
Fournit lasynchronisa-
tion de mises jour
pour les plug-ins de
scurit tiers
Adaptative Job Server Services principaux
Service de planifica-
tion de la mise jour
de l'authentification
Fournit l'intgration
des applications Web
Business Explorer
(BEx) de SAPBusine-
ss Warehouse (BW)
la zone de lanceme-
nt BI.
Serveur de traitement adapta-
tif
Analysis Services
Service d'applications
Web BEx
2012-05-10 49
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Fournit des applicatio-
ns Web pour le WA-
CS, y compris la
CMC (Central Mana-
gement Console), la
zone de lancement BI
et OpenDocument.
Serveur conteneur d'applica-
tions Web
Services principaux
Service de l'applica-
tion Web BOE
Fournit les Business
Process BI Web Ser-
vices pour le WACS,
permettant l'incorpora-
tion de la technologie
BI aux applications
Web. Business Proce-
ss BI Service est ob-
solte.
Serveur conteneur d'applica-
tions Web
Services principaux
Business Process BI
Services
Fournit la gestion des
serveurs, des utilisa-
teurs, des sessions et
de la scurit (droits
d'accs et authentifi-
cation) Au moins un
service de gestion
centralise doit tre
disponible dans un
cluster pour que ce
dernier fonctionne.
Central Management Server Services principaux
Service de gestion
centralise
Regroupe les vne-
ments d'audit en-
voys par les clients
et les transfre au
serveur CMS.
Serveur de traitement adapta-
tif
Services principaux
Service proxy d'audit
client
Accepte et traite les
rapports Crystal Re-
ports 2011 ; il peut
partager des donnes
entre les rapports
pour rduire le no-
mbre d'accs la
base de donnes.
Crystal Reports Processing
Server
Services Crystal Re-
ports
Service de traitement
Crystal Reports 2011
2012-05-10 50
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Excute les travaux
Crystal Reports ant-
rieurs planifis et pu-
blie les rsultats un
emplacement de sor-
tie.
Adaptative Job Server
Services Crystal Re-
ports
Service de planifica-
tion Crystal Re-
ports 2011
Report Application Server
(RAS)
Services Crystal Re-
ports
Service de modifica-
tion et de visualisa-
tion Crystal Re-
ports 2011
Limite le nombre
d'accs la base de
donnes gnrs de-
puis les rapports Cry-
stal et acclre le re-
porting en grant un
cache des rapports.
Crystal Reports Cache Ser-
ver
Services Crystal Re-
ports
Service de mmoire
cache Crystal Re-
ports
Accepte et traite les
rapports Crystal ; il
peut partager des do-
nnes entre les rap-
ports pour rduire le
nombre d'accs la
base de donnes.
Crystal Reports Processing
Server
Services Crystal Re-
ports
Service de traitement
Crystal Reports
Excute les nouveaux
travaux Crystal Re-
ports planifis et pu-
blie les rsultats un
emplacement de sor-
tie.
Adaptative Job Server
Services Crystal Re-
ports
Service de planifica-
tion Crystal Reports
2012-05-10 51
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Fournit des connexio-
ns dynamiques aux
sources de donnes
qui ne ncessitent
pas un Connection
Server. Ce service
permet d'accder aux
les rapports crs
l'aide de certains
fournisseurs de don-
nes personnels co-
mme les fichiers CSV
et de les actualiser.
Voir le Guide de l'utili-
sateur SAP Busines-
sObjects Web Intelli-
gence Rich Client
pour en savoir plus
sur l'laboration d'une
requte ou l'actualisa-
tion d'un document
bas sur un fichier
texte.
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service d'accs aux
donnes personnali-
s
Limite le nombre
d'accs la base de
donnes gnrs de-
puis les rapports Da-
shboards et acclre
le reporting en grant
un cache des rap-
ports
Dashboards Cache Server Services Dashboards
Service de mmoire
cache des tableaux
de bord
Accepte et traite les
rapports Dash-
boards ; il peut parta-
ger des donnes
entre les rapports
pour rduire le no-
mbre d'accs la
base de donnes
Serveur de traitement Dash-
boards
Services Dashboards
Service de traitement
Dashboards
Serveur de traitement adapta-
tif
Services de fdra-
tion de donnes
Service de fdration
de donnes
2012-05-10 52
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Excute les travaux
planifis et publie les
rsultats un empla-
cement de sortie co-
mme un systme de
fichiers, un serveur
FTP, le courrier lec-
tronique ou la bote
de rception d'un utili-
sateur.
Remarque :
Lors de l'ajout de ser-
veurs, vous devez in-
clure certains ser-
vices d'Adaptive Job
Server, y compris ce
service.
Adaptative Job Server Services principaux
Service de planifica-
tion de livraison vers
la destination
Enregistrement auto-
matique et rcupra-
tion de documents
Web Intelligence
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service de rcupra-
tion de documents
Prise en charge des
sessions DSL (Dual
Semantic Layer,
double couche sma-
ntique).
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service DSL Bridge
Surveilleles vneme-
nts de fichier d'un File
Repository Server
(FRS) et dclenche
les rapports pour
qu'ils s'excutent lor-
sque c'est ncessaire
Event Server Services principaux Service d'vnement
2012-05-10 53
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Prend en charge les
fichiers Excel tlchar-
gs sur la plateforme
de Business Intellige-
nce en tant que
sources de donnes.
Voir le Guide de l'utili-
sateur SAP Busines-
sObjects Web Intelli-
gence Rich Client
pour en savoir plus
sur l'laboration d'une
requte ou l'actualisa-
tion d'un document
bas sur un fichier
Excel.
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service d'accs aux
donnes Excel
Service requis pour le
traitement des docu-
ments Web Intellige-
nce
Web Intelligence Processing
Server
Services Web Intelli-
gence
Service du moteur
d'informations
Gre les objets rap-
port publi et les ob-
jets programme pou-
vant tre utiliss pour
la gnration de nou-
veaux rapports lors
de la rception d'un
fichier d'entre.
Input File Repository Server Services principaux
Service de stockage
des fichiers d'entre
Permet l'appel d'actio-
ns et fournit une prise
en charge du RRI.
Serveur de traitement adapta-
tif
Services principaux
Service Insight to Ac-
tion
Fournit une prise en
charge de ClearCase
pour la gestion du
cycle de vie
Serveur de traitement adapta-
tif
Services de gestion
du cycle de vie
Service ClearCase
de Gestion du cycle
de vie
Excute les travaux
de gestion du cycle
de vie planifis
Adaptative Job Server
Services de gestion
du cycle de vie
Service de planifica-
tion de Gestion du
cycle de vie
Service principal de
gestion du cycle de
vie
Serveur de traitement adapta-
tif
Services de gestion
du cycle de vie
Service de Gestion
du cycle de vie
2012-05-10 54
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Fournit les fonctions
de surveillance
Serveur de traitement adapta-
tif
Services principaux
Service de surveilla-
nce
Fournit un accs aux
donnes OLAP (On-
line Analytical Proces-
sing) multidimension-
nelles, convertit au
format XML les don-
nes brutes, qui
peuvent tre affi-
ches dans des ta-
bleaux croiss et des
diagrammes Excel,
PDF ou Analysis (an-
ciennement Voyager)
Serveur de traitement adapta-
tif
Analysis Services
Service d'analyse
multidimensionnelle
Fournit des services
de connectivit pour
l'architecture 64 bits
Connection Server
Services de connecti-
vit
Service de connectivi-
t natif
Fournit des services
de connectivit pour
l'architecture 32 bits
Connection Server
Services de connecti-
vit
Service de connectivi-
t natif (32 bits)
Gre une collection
de documents termi-
ns
Output File Repository Server Services principaux
Service de stockage
des fichiers de sortie
Excute des re-
cherches planifies
pour indexer l'ense-
mble du contenu du
rfrentiel du CMS
(Central Management
Server)
Adaptative Job Server Services principaux
Service de planifica-
tion de recherche de
plateforme
Fournit la fonctionnali-
t de recherche pour
la plateforme de BI.
Serveur de traitement adapta-
tif
Services principaux
Service de recherche
de plateformes
Fournit les travaux de
mtrique planifis et
publie les rsultats
un emplacement de
sortie.
Adaptative Job Server Services principaux
Service de planifica-
tion de la mtrique
2012-05-10 55
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Excute les progra-
mmes qui ont t pla-
nifis pour s'excuter
un moment donn
Adaptative Job Server Services principaux
Service de planifica-
tion du programme
Excute les travaux
de publication plani-
fis et publie les rsul-
tats un emplaceme-
nt de sortie.
Adaptative Job Server Services principaux
Service de planifica-
tion de la publication
Ralise des actions
sur les rapports lors-
qu'ils sont termins,
comme l'envoi d'un
rapport un emplace-
ment de sortie
Serveur de traitement adapta-
tif
Services principaux
Service de post-traite-
ment de la publica-
tion
Se coordonne avec le
service de post-traite-
ment de la publication
et le service de tra-
vaux de destination
pour publier les rap-
ports un emplace-
ment de sortie co-
mme un systme de
fichiers, un serveur
FTP, le courrier lec-
tronique ou la bote
de rception d'un utili-
sateur.
Serveur de traitement adapta-
tif
Services principaux
Service de publica-
tion
SDK utilis par Web
Intelligence et Explo-
rer
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service Rebean
Excute des travaux
de fdration planifis
pour rpliquer le co-
ntenu entre des sites
fdrs
Adaptative Job Server Services principaux Service de rplication
Fournit la gestion des
sessions pour les de-
mandes de service
Web RESTful.
Serveur conteneur d'applica-
tions Web (WACS)
Services principaux
Service Web REST-
ful
2012-05-10 56
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Excute les travaux
de requtes de scuri-
t planifis
Adaptative Job Server Services principaux
Service de planifica-
tion des requtes de
scurit
Prise en charge de la
connexion unique
SAP
Serveur de traitement adapta-
tif
Services principaux
Service de jetons de
scurit
Traduit les InfoObje-
cts l'aide d'informa-
tions du client Gestio-
nnaire de traduction
Serveur de traitement adapta-
tif
Services principaux Service de traduction
Excute les travaux
de requte de diffre-
nce visuelle (Gestion
du cycle de vie) et
publie les rsultats
un emplacement de
sortie
Adaptative Job Server
Services de gestion
du cycle de vie
Service de planifica-
tion de la diffrence
visuelle
Dtermine si les docu-
ments sont visuelle-
ment identiques pour
la promotion de docu-
ments et la gestion du
cycle de vie
Serveur de traitement adapta-
tif
Services de gestion
du cycle de vie
Service de diffrence
visuelle
Service commun de
visualisation des mo-
dles d'objet, utilis
par Web Intelligence
Serveur de traitement adapta-
tif
Services Web Intelli-
gence
Service de visualisa-
tion
Prend en charge le
traitement des docu-
ments Web Intellige-
nce
Web Intelligence Processing
Server
Services Web Intelli-
gence
Service commun
Web Intelligence
Prend en charge le
traitement des docu-
ments Web Intellige-
nce
Web Intelligence Processing
Server
Services Web Intelli-
gence
Service principal
Web Intelligence
Accepte et traite les
documents Web Intel-
ligence
Web Intelligence Processing
Server
Services Web Intelli-
gence
Service de traitement
Web Intelligence
2012-05-10 57
Architecture
Description du ser-
vice
Type de serveur Catgorie de service Service
Permet la prise en
charge des travaux
Web Intelligence pla-
nifis
Adaptative Job Server
Services Web Intelli-
gence
Service de planifica-
tion Web Intelligence
Services Web sur le
WACS
Serveur conteneur d'applica-
tions Web
Services principaux
Services Web SDKet
QaaWs
3.2.3 Catgories de service
Remarque :
De nouveaux services ou types de serveur peuvent tre ajouts dans les futures versions de
maintenance.
Type de serveur Service Catgorie de service
Serveur de traitement adaptatif Service d'applications Web BEx Analysis Services
Serveur de traitement adaptatif
Service d'analyse multidimensio-
nnelle
Analysis Services
Serveur de traitement adaptatif Adaptive Connectivity Service Services de connectivit
Connection Server Service de connectivit natif Services de connectivit
Connection Server
Service de connectivit natif
(32 bits)
Services de connectivit
Adaptative Job Server
Service de planification de la
mise jour de l'authentification
Services principaux
Central Management Server Service de gestion centralise Services principaux
Serveur de traitement adaptatif Service proxy d'audit client Services principaux
Dashboard Server Service de tableau de bord Services principaux
Adaptative Job Server
Service de planification de livrai-
son vers la destination
Services principaux
Event Server Service d'vnement Services principaux
2012-05-10 58
Architecture
Type de serveur Service Catgorie de service
Serveur de traitement adaptatif Service Insight to Action Services principaux
Input File Repository Server
Service de stockage des fichiers
d'entre
Services principaux
Serveur de traitement adaptatif Service de surveillance Services principaux
Output File Repository Server
Service de stockage des fichiers
de sortie
Services principaux
Adaptative Job Server
Service de planification de re-
cherche de plateforme
Services principaux
Serveur de traitement adaptatif
Service de recherche de plate-
formes
Services principaux
Adaptative Job Server
Service de planification de la
mtrique
Services principaux
Adaptative Job Server
Service de planification du pro-
gramme
Services principaux
Adaptative Job Server
Service de planification de la
publication
Services principaux
Serveur de traitement adaptatif
Service de post-traitement de la
publication
Services principaux
Serveur de traitement adaptatif Service de publication Services principaux
Adaptative Job Server Service de rplication Services principaux
Serveur conteneur d'applicatio-
ns Web
Service Web RESTful Services principaux
Adaptative Job Server
Service de planification des re-
qutes de scurit
Services principaux
Serveur de traitement adaptatif Service de jetons de scurit Services principaux
Serveur de traitement adaptatif Service de traduction Services principaux
Crystal Reports Processing
Server
Service de traitement Crystal
Reports 2011
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports 2011
Services Crystal Reports
Report Application Server (RAS)
Service de modification et de
visualisation Crystal Re-
ports 2011
Services Crystal Reports
2012-05-10 59
Architecture
Type de serveur Service Catgorie de service
Crystal Reports Cache Server
Service de mmoire cache Cry-
stal Reports
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports
Services Crystal Reports
Dashboards Cache Server
Service de mmoire cache des
tableaux de bord
Services Dashboards
Serveur de traitement Dash-
boards
Service de traitement Dash-
boards
Services Dashboards
Serveur de traitement adaptatif
Service de fdration de don-
nes
Services de fdration de don-
nes
Serveur de traitement adaptatif
Service ClearCase de la gestion
du cycle de vie
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification de Ges-
tion du cycle de vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de Gestion du cycle de
vie
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification de la
diffrence visuelle
Services de gestion du cycle de
vie
Serveur de traitement adaptatif Service de diffrence visuelle
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service d'accs aux donnes
personnalis
Services Web Intelligence
Serveur de traitement adaptatif
Service de rcupration de do-
cuments
Services Web Intelligence
Serveur de traitement adaptatif Service DSL Bridge Services Web Intelligence
Serveur de traitement adaptatif
Service d'accs aux donnes
Excel
Services Web Intelligence
Web Intelligence Processing
Server
Service du moteur d'informatio-
ns
Services Web Intelligence
Serveur de traitement adaptatif Service Rebean Services Web Intelligence
Serveur de traitement adaptatif Service de visualisation Services Web Intelligence
2012-05-10 60
Architecture
Type de serveur Service Catgorie de service
Web Intelligence Processing
Server
Service commun Web Intellige-
nce
Services Web Intelligence
Web Intelligence Processing
Server
Service principal Web Intellige-
nce
Services Web Intelligence
Web Intelligence Processing
Server
Service de traitement Web Intel-
ligence
Services Web Intelligence
Adaptative Job Server
Service de planification Web In-
telligence
Services Web Intelligence
3.2.4 Types de serveurs
Remarque :
De nouveaux services ou types de serveur peuvent tre ajouts dans les futures versions de
maintenance.
Catgorie de service Service Type de serveur
Services principaux
Service de planification de la
mise jour de l'authentification
Adaptative Job Server
Services Crystal Reports
Service de planification Crystal
Reports 2011
Adaptative Job Server
Services Crystal Reports
Service de planification Crystal
Reports
Adaptative Job Server
Services principaux
Service de planification de livrai-
son vers la destination
Adaptative Job Server
Services de gestion du cycle de
vie
Service de planification de Ges-
tion du cycle de vie
Adaptative Job Server
Services principaux
Service de planification de re-
cherche de plateforme
Adaptative Job Server
Services principaux
Service de planification de la
mtrique
Adaptative Job Server
Services principaux
Service de planification du pro-
gramme
Adaptative Job Server
2012-05-10 61
Architecture
Catgorie de service Service Type de serveur
Services principaux
Service de planification de la
publication
Adaptative Job Server
Services principaux Service de rplication Adaptative Job Server
Services principaux
Service de planification des re-
qutes de scurit
Adaptative Job Server
Services de gestion du cycle de
vie
Service de planification de la
diffrence visuelle
Adaptative Job Server
Services Web Intelligence
Service de planification Web In-
telligence
Adaptative Job Server
Services de connectivit Adaptive Connectivity Service Serveur de traitement adaptatif
Analysis Services Service d'applications Web BEx Serveur de traitement adaptatif
Services principaux Service proxy d'audit client Serveur de traitement adaptatif
Services Web Intelligence
Service d'accs aux donnes
personnalis
Serveur de traitement adaptatif
Services de fdration de don-
nes
Service de fdration de don-
nes
Serveur de traitement adaptatif
Services Web Intelligence
Service de rcupration de do-
cuments
Serveur de traitement adaptatif
Services Web Intelligence Service DSL Bridge Serveur de traitement adaptatif
Services Web Intelligence
Service d'accs aux donnes
Excel
Serveur de traitement adaptatif
Services principaux Service Insight to Action Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service ClearCase de Gestion
du cycle de vie
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de Gestion du cycle de
vie
Serveur de traitement adaptatif
Services principaux Service de surveillance Serveur de traitement adaptatif
Analysis Services
Service d'analyse multidimensio-
nnelle
Serveur de traitement adaptatif
Services principaux
Service de recherche de plate-
formes
Serveur de traitement adaptatif
2012-05-10 62
Architecture
Catgorie de service Service Type de serveur
Services principaux
Service de post-traitement de la
publication
Serveur de traitement adaptatif
Services principaux Service de publication Serveur de traitement adaptatif
Services Web Intelligence Service Rebean Serveur de traitement adaptatif
Services principaux Service de jetons de scurit Serveur de traitement adaptatif
Services principaux Service de traduction Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de diffrence visuelle Serveur de traitement adaptatif
Services Web Intelligence Service de visualisation Serveur de traitement adaptatif
Services principaux Service de gestion centralise Central Management Server
Services de connectivit Service de connectivit natif Connection Server
Services de connectivit
Service de connectivit natif
(32 bits)
Connection Server
Services Crystal Reports
Service de mmoire cache Cry-
stal Reports
Crystal Reports Cache Server
Services Crystal Reports
Service de traitement Crystal
Reports 2011
Crystal Reports Processing
Server
Services Crystal Reports
Service de traitement Crystal
Reports
Crystal Reports Processing
Server
Services Dashboards
Service de mmoire cache des
tableaux de bord
Dashboards Cache Server
Services Dashboards
Service de traitement Dash-
boards
Serveur de traitement Dash-
boards
Services principaux Service de tableau de bord Dashboard Server
Services principaux Service d'vnement Event Server
Services principaux
Service de stockage des fichiers
d'entre
Input File Repository Server
Services principaux
Service de stockage des fichiers
de sortie
Output File Repository Server
Services Crystal Reports
Service de modification et de
visualisation Crystal Re-
ports 2011
Report Application Server (RAS)
2012-05-10 63
Architecture
Catgorie de service Service Type de serveur
Services principaux Service Web RESTful
Serveur conteneur d'applicatio-
ns Web
Services Web Intelligence
Service du moteur d'informatio-
ns
Web Intelligence Processing
Server
Services Web Intelligence
Service commun Web Intellige-
nce
Web Intelligence Processing
Server
Services Web Intelligence
Service principal Web Intellige-
nce
Web Intelligence Processing
Server
Services Web Intelligence
Service de traitement Web Intel-
ligence
Web Intelligence Processing
Server
3.2.5 Serveurs
Les serveurs sont un regroupement de services excuts sous un SIA (Server Intelligence Agent) sur
un hte. Le type de serveur est signal par les services qui y sont excuts. Les serveurs peuvent tre
crs dans la CMC (Central Management Console). Le tableau suivant rpertorie les diffrents types
de serveurs pouvant tre crs dans la CMC.
2012-05-10 64
Architecture
Description Serveur
Serveur gnral traitant les travaux planifis. Lorsque vous ajoutez un
Job Server au systme de plateforme SAP BusinessObjects Business Intel-
ligence, vous pouvez configurer le Job Server pour traiter les rapports, do-
cuments, programmes ou publications et envoyer les rsultats vers diffre-
ntes destinations.
Adaptative Job Server
Serveur gnrique qui hberge les services responsables du traitement des
demandes provenant de diverses sources.
Remarque :
Le programme d'installation installe un serveur de traitement adaptatif (APS)
par systme hte. Selon les fonctionnalits que vous avez installes, cet
APS peut hberger un grand nombre de services, tels que le service de
surveillance, le service de gestion du cycle de vie, le service d'analyse
multidimensionnelle (MDAS), le service de publication et d'autres.
Si vous installez un environnement de production, n'utilisez pas le serveur
de traitement adaptatif par dfaut. Il est plutt vivement recommand, une
fois le processus achev, de raliser un dimensionnement du systme pour
dterminer :
Le type et le nombre de services du serveur de traitement adaptatif.
La distribution des services travers plusieurs serveurs de traitement
adaptatif.
Le nombre optimal de serveurs de traitement adaptatif. Plusieurs serveurs
de traitement adaptatif fournissent une redondance, une meilleure per-
formance et une fiabilit accrue.
La distribution des serveurs de traitement adaptatif travers plusieurs
nuds.
Crez des instances de serveur de traitement adaptatif telles que dtermi-
nes par le processus de dimensionnement.
Par exemple, si le rsultat de votre dimensionnement venait suggrer la
cration d'un serveur de traitement adaptatif pour chaque catgorie de ser-
vice, cela pourrait aboutir la cration de huit serveurs de traitement
adaptatif. Un pour chaque catgorie de services : services Analysis, services
de connectivit, services principaux, services Crystal Reports, services
Dashboards, services de fdration de donnes, services de gestion du
cycle de vie et services Web Intelligence.
Serveur de traitement
adaptatif
Gre une base de donnes d'informations concernant votre systme de
plateforme de Business Intelligence (dans la base de donnes systme du
CMS) et les actions utilisateur audites (dans le magasin de donnes d'au-
dit). Tous les services de plateforme sont grs par le CMS. Le CMS contrle
galement l'accs aux fichiers systme o sont stocks les documents, les
informations relatives aux utilisateurs, groupes d'utilisateurs, niveaux de
scurit (y compris l'authentification et l'autorisation) et le contenu.
Central Management
Server (CMS)
2012-05-10 65
Architecture
Description Serveur
Connection Server Permet l'accs de la base de donnes aux donnes source. Les bases de
donnes relationnelles sont prises en charge, de mme que OLAP et autres
formats. Le Connection Server gre les connexions et l'interaction avec les
diverses sources de donnes et fournit un ensemble de fonctions communes
aux clients.
Intercepte les demandes de rapport envoyes par les clients au Page Server.
Si le Cache Server ne peut pas rpondre la demande avec une page de
rapport mise en cache, il transmet la demande au serveur de traitement
Crystal Reports, qui excute le rapport et renvoie les rsultats. Le Cache
Server met alors la page de rapport en mmoire cache en vue d'une poten-
tielle utilisation ultrieure.
Crystal Reports Cache
Server
Rpond aux demandes de page en traitant les rapports et en gnrant des
pages au format de page encapsule (EPF). L'avantage cl du format EPF
est qu'il prend en charge l'accs aux pages la demande, si bien que seule
la page demande est renvoye et non le rapport complet. Cela amliore
les performances systme et rduit le trafic rseau inutile dans le cas de
grands rapports.
Crystal Reports Processi-
ng Server
Intercepte les demandes de rapport envoyes par les clients au Dashboard
Server. Si le Cache Server ne peut pas rpondre la demande avec une
page de rapport mise en cache, il transmet la demande au Dashboard
Server, qui excute le rapport et renvoie les rsultats. Le Cache Server met
alors la page de rapport en mmoire cache en vue d'une potentielle utilisation
ultrieure.
Dashboards Cache Ser-
ver
Rpond aux demandes de Dashboards en traitant les rapports et en gn-
rant des pages au format de page encapsule (EPF). L'avantage cl du
format EPF est qu'il prend en charge l'accs aux pages la demande, si
bien que seule la page demande est renvoye et non le rapport complet.
Cela amliore les performances systme et rduit le trafic rseau inutile
dans le cas de grands rapports.
Serveur de traitement
Dashboards
Surveille les vnements du systme qui peuvent dclencher l'excution
d'un rapport. Lorsque vous configurez un dclenchement d'vnement,
l'Event Server surveille la condition et notifie au CMS l'excution d'un v-
nement. Le CMS peut ensuite dmarrer tous les travaux configurs pour
s'excuter lors de l'vnement. L'Event Server gre les vnements bass
sur des fichiers qui se produisent dans le niveau de stockage.
Event Server
2012-05-10 66
Architecture
Description Serveur
En charge de la cration des objets systme de fichiers, tels que les rapports
exports, et des fichiers imports dans des formats non natifs. Un Input
FRS stocke les objets de rapport et de programme qui ont t publis sur
le systme par les administrateurs et les utilisateurs finaux. Un Output FRS
stocke toutes les instances de rapport gnres par le Job Server.
File Repository Server
Traite les documents SAP BusinessObjects Web Intelligence. Web Intelligence Proces-
sing Server
Fournit des fonctionnalits de reporting ad hoc permettant aux utilisateurs
de crer et de modifier des rapports Crystal via le SDK (Software Develop-
ment Kit) de SAP Crystal Reports Server Embedded.
Report Application Ser-
ver
3.3 Applications client
Vous pouvez interagir avec la plateforme SAP BusinessObjects Business Intelligence en utilisant deux
types principaux d'applications client :
Applications de bureau
Ces applications doivent tre installes sur un systme d'exploitation Microsoft Windows pris en
charge. Elles peuvent traiter des donnes et crer des rapports localement.
Remarque :
Le programme d'installation de la plateforme SAP BusinessObjects Business Intelligence n'installe
plus les applications de bureau. Pour installer une application de bureau sur un serveur, utilisez le
programme d'installation autonome des outils client de la plateforme SAP BusinessObjects Business
Intelligence.
Les applications client de bureau permettent de dcharger une partie du traitement des rapports BI
sur des ordinateurs client individuels. La plupart des applications de bureau accdent directement
aux donnes de votre organisation via des pilotes installs sur le bureau et communiquent avec
votre dploiement de la plateforme SAP BusinessObjects Business Intelligence via CORBA ou
CORBA SSL crypt.
SAP Crystal Reports 2011 et Live Office sont des exemples de ce type d'application.
Remarque :
Bien que Live Office soit une application fonctionnalit riche, elle forme une interface avec les
services Web de la plateforme SAP BusinessObjects Business Intelligence via HTTP.
Applications Web
Ces applications sont hberges par un serveur d'applications Web et sont accessibles via un
navigateur Web pris en charge sur les systmes d'exploitation Windows, Macintosh, Unix et Linux.
2012-05-10 67
Architecture
Cela permet de fournir un accs Business Intelligence (BI) de grands groupes d'utilisateurs, sans
avoir dployer de logiciels de bureau. La communication est assure via HTTP avec ou sans
cryptage SSL (HTTPS).
La zone de lancement BI, SAP BusinessObjects Web Intelligence, la CMC (Central Management
Console) et les visualiseurs de rapport sont des exemples de ce type d'application.
3.3.1 Installes avec les outils client de la plateforme SAP BusinessObjects Business
Intelligence
3.3.1.1 Web Intelligence Desktop
Web Intelligence Desktop reprsente un outil d'analyse et de reporting ad hoc conu pour les utilisateurs
avec ou sans accs la plateforme SAP BusinessObjects Business Intelligence.
Il permet aux utilisateurs de parcourir et de combiner les donnes de sources relationnelles, OLAP
(online analytical processing), de feuilles de calcul ou de fichiers texte en utilisant des termes mtier
courants dans une interface autorisant le glisser-dposer. Les workflows permettent d'analyser les
questions trs larges ou trs cibles et de poser d'autres questions au cours du workflow d'analyse.
Les utilisateurs de Web Intelligence Desktop peuvent continuer utiliser des fichiers de document Web
Intelligence (.wid), mme s'ils ne peuvent pas se connecter un CMS (Central Management Server).
3.3.1.2 Gestionnaire de vues d'entreprise
Le Gestionnaire de vues d'entreprise permet aux utilisateurs de crer des objets de couche smantique
qui simplifient la complexit des bases de donnes sous-jacentes.
Le Gestionnaire de vues d'entreprise permet de crer des connexions de donnes, des connexions de
donnes dynamiques, des fondations de donnes, des lments d'entreprise, des vues d'entreprise et
des vues relationnelles. Il permet aussi de dfinir une scurit dtaille au niveau des colonnes et des
lignes pour les objets d'un rapport.
Les concepteurs peuvent crer des connexions plusieurs sources de donnes, joindre des tables,
crer des alias pour des noms de champs, des champs calculs, puis utiliser cette structure simplifie
sous forme de vue d'entreprise. Les concepteurs et les utilisateurs de rapports peuvent ensuite utiliser
la vue d'entreprise comme base de leurs rapports, plutt qu'accder directement aux donnes et crer
leurs propres requtes.
2012-05-10 68
Architecture
3.3.1.3 Outil de conversion de rapport
L'outil de conversion de rapport convertit les rapports au format Web Intelligence et les publie sur un
CMS (Central Management Server).
Les rapports peuvent tre extraits des dossiers Publics, Favoris ou Bote de rception du
CMS. Une fois les rapports convertis, vous pouvez les publier dans le mme dossier que le rapport
Web Intelligence d'origine ou dans un autre dossier. L'outil ne convertit pas tous les rapports et toutes
les fonctionnalits de Web Intelligence. Le niveau de conversion dpend des fonctions prsentes dans
le rapport d'origine. Certaines d'entre elles empchent la conversion du rapport. D'autres sont modifies,
implmentes de nouveau ou supprimes par l'outil pendant la conversion.
L'outil de conversion de rapport vous permet galement de raliser l'audit de vos rapports convertis.
Vous pouvez ainsi identifier les rapports qui ne peuvent pas tre totalement convertis par l'outil de
conversion de rapport et en expliquer la raison.
3.3.1.4 Outil de conception d'univers
L'Outil de conception d'univers (anciennement Universe Designer) permet aux concepteurs de donnes
de combiner les donnes de plusieurs sources dans une couche smantique qui masque la complexit
des bases de donnes aux utilisateurs finaux. Il simplifie la complexit des donnes en utilisant un
langage mtier plutt qu'un langage technique pour les parcourir, les manipuler et les organiser.
L'outil de conception d'univers fournit une interface graphique pour slectionner et visualiser les tables
d'une base de donnes. Les tables de bases de donnes sont reprsentes par des symboles de tables
dans un diagramme de schma. Les concepteurs peuvent utiliser cette interface pour manipuler des
tables, crer des jointures entre les tables, des tables d'alias et des contextes et rsoudre des boucles
dans un schma.
Vous pouvez galement crer des univers partir de sources de mtadonnes. L'outil de conception
d'univers est utilis pour gnrer des univers la fin du processus de cration.
3.3.1.5 Query as a Web Service
Query as a Web Service est une application de type assistant qui permet d'adresser des requtes
un service Web et de les intgrer des applications Web. Les requtes peuvent tre enregistres pour
crer un catalogue de requtes standard que les composants de gnration d'applications peuvent
slectionner en fonction des besoins.
2012-05-10 69
Architecture
Le contenu Business Intelligence est gnralement li une interface utilisateur spcifique compose
d'outils de Business Intelligence. Avec Query as a Web Service, le contenu BI est livr dans toute
interface utilisateur capable de traiter des services Web.
Query as a Web Service est conu pour tre excut avec une application Microsoft Windows
quelconque, comme tout autre service Web. Query as a Web Service est bas sur les spcifications
W3C de service Web SOAP, SDL et XML. Il comprend deux principaux composants :
Composant serveur
Le composant serveur (intgr la plateforme de Business Intelligence) stocke le catalogue Query
as a Web Service et hberge les services Web publis.
Outil client
C'est l'outil avec lequel les utilisateurs crent et publient leurs requtes Query as a Web Service.
Vous pouvez installer l'outil client sur plusieurs ordinateurs pouvant accder au mme catalogue
stock sur le serveur et partager. L'outil client communique avec les composants serveur via les
services Web.
Query as a Web Service permet d'utiliser les requtes Web dans toute une gamme de solutions ct
client, y compris :
Microsoft Office, Excel et InfoPath
SAP NetWeaver
OpenOffice
Applications de gestion de processus et de rgles de gestion
Plateformes Enterprise Service Bus
3.3.1.6 Outil de conception d'information
L'outil de conception d'information (anciennement Information Designer) est un environnement de
conception de mtadonnes SAP BusinessObjects qui permet au concepteur d'extraire, de dfinir et
de manipuler les mtadonnes de sources relationnelles et OLAP pour crer et dployer des univers
SAP BusinessObjects.
3.3.1.7 Outil de gestion de la traduction
La plateforme SAP BusinessObjects Business Intelligence prend en charge les documents et univers
multilingues. Un document multilingue contient des versions localises des mtadonnes d'univers et
des invites de document. Par exemple, un utilisateur peut crer des rapports partir du mme univers
dans les langues de son choix.
2012-05-10 70
Architecture
L'outil de gestion de la traduction (anciennement Gestionnaire de traduction) dfinit les univers
multilingues et gre la traduction des univers, ainsi que d'autres ressources de rapport et d'analyse du
rfrentiel du CMS.
Outil de gestion de la traduction :
Traduit l'univers ou les documents pour un public multilingue.
Dfinit les parties mtadonnes du document et la traduction approprie. Gnre un format XLIFF
externe et importe les fichiers XLIFF pour obtenir des informations traduites.
Indique la structure de l'univers ou des documents traduire.
Permet de traduire les mtadonnes via l'interface utilisateur ou par le biais d'un outil de traduction
externe en important et en exportant des fichiers XLIFF.
Cre des documents multilingues.
3.3.1.8 Outil d'administration de fdration de donnes
L'Outil d'administration de fdration de donnes (anciennement Data Federator) est une application
Rich Client qui offre des fonctionnalits faciles utiliser pour grer votre service de fdration de
donnes.
Etroitement intgr la plateforme SAP BusinessObjects Business Intelligence, le service de fdration
de donnes active les univers plusieurs sources en diffusant les requtes dans plusieurs sources de
donnes et vous permet ainsi de fdrer les donnes par le biais d'une fondation de donnes unique.
L'outil d'administration de fdration de donnes vous permet d'optimiser les requtes de fdration
de donnes et d'ajuster le moteur de recherche de fdration de donnes en vue d'obtenir les meilleures
performances possibles.
Il permet d'effectuer les oprations suivantes :
Tester les requtes SQL.
Visualiser les plans d'optimisation qui dtaillent la faon dont les requtes sont transmises chaque
source.
Calculer des statistiques et dfinir des paramtres systme pour ajuster les services de fdration
de donnes et obtenir les meilleures performances possibles.
Grer les proprits afin de contrler la faon dont les requtes sont excutes dans chaque source
de donnes au niveau du connecteur.
Surveiller les requtes SQL en cours.
Parcourir l'historique des requtes excutes.
2012-05-10 71
Architecture
3.3.1.9 Indicateurs pour la plateforme SAP BusinessObjects Business Intelligence
Les indicateurs sont des mini-applications permettant d'accder rapidement et facilement aux fonctions
souvent utilises et fournissant des informations visuelles partir de votre bureau. Les indicateurs pour
la plateforme SAP BusinessObjects Business Intelligence (prcdemment connus sous le nom de BI
Widgets) permettent votre entreprise d'offrir un accs au contenu BI (Business Intelligence) existant
de la plateforme SAP BusinessObjects Business Intelligence ou vous pouvez ajouter des applications
Web Dynpro enregistres sous forme d'indicateurs XBCML (Extensible Business Client Markup
Language) sur les serveurs d'applications SAP NetWeaver en tant qu'indicateurs de bureau.
Pour afficher des indicateurs XBCML sur le bureau de l'utilisateur, on utilise le client SAP Web Dynpro
Flex. Le client SAP Web Dynpro Flex est un moteur d'affichage bas sur Adobe Flex, qui est utilis
pour afficher des indicateurs. Pour en savoir plus sur la configuration des applications Web Dynpro,
voir la rubrique Pour activer les indicateurs sur le serveur d'applications SAP NetWeaver du Guide de
l'utilisateur d'indicateurs pour SAP BusinessObjects.
Remarque :
La prise en charge des indicateurs XBCML par le client SAP Web Dynpro Flex commence avec la
version 7.0 EhP2 SP3. La prise en charge d'attente du client Flex est rserve aux problme du client
Flex rencontrs dans les indicateurs XBCML dans ces versions spcifies.
Grce aux indicateurs destins la plateforme SAP BusinessObjects Business Intelligence, vous
recherchez ou parcourez le contenu existant, comme les documents Web Intelligence, les modles
Dashboards et les applications Web Dynpro, puis collez les informations sur votre bureau afin qu'elles
soient accessibles en cas de besoin.
En tant qu'indicateur, le contenu bnficie des fonctionnalits suivantes du cadre d'application des
indicateurs :
Taille et positionnement contrls par l'utilisateur
Actualisation automatique
Paramtre facultatif, tel que la fentre d'application suprieure
Scurit totale de la plateforme SAP BusinessObjects Business Intelligence (parties de rapport Web
Intelligence et modles Dashboards uniquement)
Affichage enregistr
Etat de contexte des donnes enregistres (parties de rapport Web Intelligence uniquement)
Liens OpenDocument Web Intelligence vers des rapports dtaills (documents Web Intelligence
uniquement)
Vues avec onglets (modles Dashboards uniquement)
3.3.2 Installes avec la plateforme SAP BusinessObjects Business Intelligence
2012-05-10 72
Architecture
3.3.2.1 Central Configuration Manager
Le CCM(Central Configuration Manager) est un outil de gestion de nuds et de dpannage de serveurs
propos sous deux formes. Sous Windows, vous utilisez le CCM pour grer les serveurs locaux et
distants dans l'interface utilisateur (IU) du CCM ou partir d'une ligne de commande. Sous UNIX, vous
utilisez le script shell du CCM (ccm.sh) pour grer les serveurs partir d'une ligne de commande.
Le CCMpermet de crer et configurer les nuds et aussi de dmarrer ou arrter le serveur d'applications
Web, si c'est le serveur d'applications Web Tomcat fourni par dfaut. Sous Windows, vous pouvez
utiliser le CCM pour configurer les paramtres rseau comme le cryptage SSL (Secure Socket Layer).
Les paramtres s'appliquent tous les serveurs d'un nud.
Remarque :
La plupart des tches de gestion des serveurs sont gres dans la CMC, et non dans le CCM. Le CCM
est utilis pour le dpannage et la configuration des nuds.
3.3.2.2 Outil de gestion de mise niveau
L'Outil de gestion de mise niveau (anciennement Assistant d'importation) est install dans le cadre
de la plateforme SAP BusinessObjects Business Intelligence et guide les administrateurs tout au long
du processus d'importation des utilisateurs, groupes et dossiers des versions prcdentes de la
plateforme SAP BusinessObjects Business Intelligence. Il permet galement l'importation et la mise
niveau des objets, vnements, groupes de serveurs, objets de rfrentiel et calendriers.
Pour en savoir plus sur la mise niveau partir d'une version antrieure de la plateforme SAP
BusinessObjects Business Intelligence, voir le Guide de mise niveau de la plateforme SAP
BusinessObjects Business Intelligence.
3.3.2.3 Outil de diagnostic de rfrentiel
L'outil de diagnostic de rfrentiel (RDT, Repository Diagnostic Tool) analyse, diagnostique et rpare
les incohrences entre la base de donnes systme du CMS (Central Management Server) et le
stockage des fichiers des FRS (File Repository Servers), puis tablit des rapports sur le statut de
rparation et les actions termines.
Le RDT peut tre utilis pour synchroniser le systme de fichiers et la base de donnes aprs qu'un
utilisateur a restaur le systme partir d'une sauvegarde chaud ou aprs une restauration (avant
2012-05-10 73
Architecture
le dmarrage des services de la plateforme de Business Intelligence). Les utilisateurs peuvent dfinir
une limite pour le nombre d'erreurs trouves et rpares par le RDT avant l'arrt.
3.3.3 Disponibles sparment
3.3.3.1 SAP BusinessObjects Analysis, dition pour Microsoft Office
SAP BusinessObjects Advanced Analysis, dition pour Microsoft Office constitue une alternative de
premier choix Business Explorer (BEx) en permettant aux analystes professionnels d'explorer des
donnes OLAP (Online Analytical Processing) multidimensionnelles.
Les analystes peuvent ainsi rpondre rapidement aux questions de gestion et partager avec d'autres
utilisateurs leurs analyses et leur espace de travail sous forme d'analyses.
SAP BusinessObjects Analysis, dition pour Microsoft Office, fournit aux analystes la possibilit :
D'identifier les tendances, les extrmes et les dtails stocks dans les systmes financiers sans
l'aide d'un administrateur de base de donnes.
D'obtenir des rponses leurs questions de gestion efficacement en consultant des jeux de donnes
multidimensionnels de petite ou grande taille.
D'accder l'ensemble des sources de donnes OLAP disponibles au sein de l'entreprise et de
partager les rsultats l'aide d'une interface intuitive simple.
D'accder aux diffrentes sources de donnes OLAP des mmes analyses pour obtenir un aperu
complet de l'activit et de l'impact crois des tendances.
D'interroger, d'analyser, de comparer et de prvoir les facteurs d'activit.
D'utiliser une gamme complte de calculs de gestion et temporels.
3.3.3.2 SAP Crystal Reports
Le logiciel SAP Crystal Reports permet aux utilisateurs de concevoir des rapports interactifs partir
d'une source de donnes.
3.3.3.3 SAP BusinessObjects Dashboards
2012-05-10 74
Architecture
SAP BusinessObjects Dashboards (anciennement Xcelsius) dsigne un outil conu pour visualiser les
donnes et crer des tableaux de bord dynamiques et interactifs. Les donnes et les formules sont
importes ou directement saisies dans une feuille de calcul Excel incorpore. Une interface flash fournit
une zone de dessin permettant d'afficher diffrents tableaux de bord et analyses.
Les donnes peuvent tre mises jour dynamiquement depuis la plateforme SAP BusinessObjects
Business Intelligence et exportes vers diffrents formats qui peuvent tre affichs par les utilisateurs
de donnes dans des formats standard tels que PowerPoint, PDF ou Flash.
3.3.3.4 SAP BusinessObjects Explorer
SAP BusinessObjects Explorer est une application de dtection des donnes qui utilise une puissante
fonctionnalit de recherche afin d'extraire des rponses aux questions professionnelles partir de
donnes, d'une faon directe et rapide.
Lorsque vous installez SAP BusinessObjects Explorer, les serveurs suivants sont ajouts au CCM
(Central Configuration Manager) et la CMC (Central Management Console) de la plateforme SAP
BusinessObjects Business Intelligence :
Serveur de base Explorer : gre tous les serveurs Explorer.
Serveur d'indexation Explorer : assure et gre l'indexation des donnes et des mtadonnes de
l'espace d'informations.
Serveur de recherche Explorer : traite les requtes de recherche et renvoie les rsultats.
Serveur d'exploration Explorer : assure et gre les fonctionnalits d'exploration et d'analyse de
l'espace d'informations, notamment la recherche sur les donnes, le filtrage et l'agrgation.
3.3.4 Clients d'applications Web
Les clients d'applications Web rsident sur un serveur d'applications Web et sont accessibles sur un
navigateur Web client. Les applications Web sont dployes automatiquement lors de l'installation de
la plateforme SAP BusinessObjects Business Intelligence.
Les applications Web sont facilement accessibles depuis un navigateur Web et la communication peut
tre scurise par cryptage SSL si vous planifiez d'autoriser un accs utilisateur externe au rseau de
votre organisation.
De plus, les applications Web Java peuvent tre reconfigures ou dployes aprs l'installation initiale
en utilisant l'outil de ligne de commande WDeploy fourni, qui permet de dployer des applications Web
sur un serveur d'applications Web comme suit :
1. Mode autonome
2012-05-10 75
Architecture
Toutes les ressources d'applications Web sont dployes sur un serveur d'applications Web qui
sert la fois le contenu statique et dynamique. Ce mode est adapt aux petites installations.
2. Mode divis
Le contenu statique de l'application Web (HTML, images, CSS) est dploy sur un serveur Web
ddi alors que le contenu dynamique (JSP) est dploy sur un serveur d'applications Web. Ce
mode est adapt aux installations plus importantes qui bnficient du fait que le serveur d'applications
Web n'a pas servir le contenu Web statique.
Pour en savoir plus sur WDeploy, voir le Guide de dploiement d'applications Web de la plateforme
SAP BusinessObjects Business Intelligence.
3.3.4.1 Central Management Console (CMC)
La CMC (Central Management Console) est un outil Web utiliser pour effectuer les tches
administratives (dont la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les
paramtres de scurit. La CMC tant une application Web, vous pouvez effectuer toutes les tches
d'administration dans un navigateur Web, sur tout ordinateur pouvant se connecter au serveur
d'applications Web.
Tous les utilisateurs peuvent se connecter la CMC pour modifier leurs propres paramtres de
prfrences. Seuls les membres du groupe Administrateurs peuvent modifier les paramtres de gestion,
moins que les droits pour le faire ne soient explicitement accords un utilisateur. Des rles peuvent
tre affects dans la CMC afin d'accorder des droits d'utilisateurs pour effectuer des tches
administratives mineures comme la gestion des utilisateurs d'un groupe ou des rapports dans les
dossiers appartenant une quipe.
3.3.4.2 Zone de lancement BI
La zone de lancement BI (prcdemment nomme InfoView) est une interface Web laquelle accdent
les utilisateurs finaux pour afficher, planifier et suivre les rapports Business Intelligence (BI) publis.
La zone de lancement BI permet d'accder n'importe quel type de document de Business Intelligence,
y compris les rapports, les analyses et les tableaux de bord, et aussi d'interagir avec eux et de les
exporter.
La zone de lancement BI permet aux utilisateurs de grer :
La navigation et la recherche dans le contenu BI
L'accs au contenu BI (cration, dition et visualisation)
La planification et la publication du contenu BI
2012-05-10 76
Architecture
3.3.4.3 Espaces de travail BI
Les espaces de travail BI (prcdemment connus sous le nom Dashboard Builder) aident suivre les
activits commerciales et les performances l'aide de modules (modles de donnes) et des espaces
de travail Business Intelligence (BI) (visualisation de donnes dans un ou plusieurs modules). Les
modules et les espaces de travail BI fournissent les informations ncessaires pour ajuster les rgles
de gestion en fonction du changement des conditions. Cela vous aide suivre et analyser les donnes
de gestion cls via les modules et les espaces de travail BI de gestion. L'analyse et la prise de dcision
en groupe sont galement prises en charge via les fonctionnalits de collaboration et de workflow
intgres. Les espaces de travail BI offrent les fonctions suivantes :
Navigation par onglets
Cration de pages : gestion des espaces de travail BI et des modules
Un gnrateur d'application interactif
La liaison de contenu entre modules pour une analyse approfondie des donnes
Remarque :
Les espaces de travail BI font partie intgrante de l'application de zone de lancement BI. Ds lors, pour
utiliser les fonctionnalits des espaces de travail BI, vous devez acheter une licence de plateforme
SAP BusinessObjects Business Intelligence dont le contrait inclut la zone de lancement BI.
3.3.4.4 Visualiseurs de rapports
Chaque visualiseur de rapports prend en charge une plateforme et un navigateur diffrents. Il existe
deux catgories de visualiseurs :
Les visualiseurs de rapports ct client (visualiseur Active X et visualiseur Java)
Les visualiseurs de rapports ct client sont tlchargs et installs dans le navigateur de l'utilisateur.
Lorsqu'un utilisateur demande un rapport, le serveur d'applications traite la requte, puis rcupre
les pages du rapport dans la plateforme SAP BusinessObjects Business Intelligence. Le serveur
d'applications Web transmet ensuite les pages du rapport au visualiseur ct client, qui les traite et
les affiche dans un navigateur Web. Pour choisir un visualiseur de rapports ct client, slectionnez
Prfrences > Crystal Reports > Web ActiveX (ActiveX requis) ou Web Java (Java requis).
Visualiseurs de rapports zro client (visualiseur DHTML)
Les visualiseurs de rapports zro client rsident sur le serveur d'applications Web. Lorsqu'un
utilisateur demande un rapport, le serveur d'applications Web rcupre les pages du rapport dans
la plateforme de Business Intelligence et cre des pages DHTML qui s'affichent dans un navigateur.
Pour choisir le visualiseur de rapports zro client (DHTML), slectionnez Prfrences > Crystal
Reports > Web (aucun tlchargement requis).
2012-05-10 77
Architecture
Tous les visualiseurs de rapports traitent les demandes de rapport et prsentent les pages du rapport
qui s'affichent dans un navigateur.
Pour en savoir plus sur les fonctionnalits spcifiques ou les plateformes prises en charge par chaque
visualiseur de rapports, voir le Guide de l'utilisateur de la zone de lancement BI, le Guide du dveloppeur
pour Report Application Server .NET SDK ou le Guide du dveloppeur pour Viewers Java SDK
3.3.4.5 SAP BusinessObjects Web Intelligence
SAP BusinessObjects Web Intelligence dsigne un outil Web qui fournit des fonctionnalits de requte,
de reporting et d'analyse pour les sources de donnes relationnelles dans un produit Web unique.
Il permet aux utilisateurs de crer des rapports, d'effectuer des requtes ad hoc, d'analyser des donnes
et de mettre en forme des rapports dans une interface autorisant le glisser-dposer. Web Intelligence
masque la complexit des sources de donnes sous-jacentes.
Les rapports peuvent tre publis sur un portail Web pris en charge ou dans des applications Microsoft
Office l'aide de SAP BusinessObjects Live Office.
3.3.4.6 SAP BusinessObjects Analysis, dition pour OLAP
SAP BusinessObjects Analysis, dition pour OLAP (anciennement Voyager) dsigne un outil OLAP
(Online Analytical Processing) figurant sur le portail de la zone de lancement BI, qui permet d'utiliser
des donnes multidimensionnelles. Il permet aussi de combiner des informations issues de diffrentes
sources de donnes OLAP dans un espace de travail unique. Les fournisseurs OLAP pris en charge
incluent SAP BW et Microsoft Analysis Services.
L'ensemble de fonctions d'Analysis, dition pour OLAP combine les lments de SAP Crystal Reports
(accs direct aux donnes des cubes OLAP des fins de reporting de production) et de la solution
SAP BusinessObjects Web Intelligence (reporting analytique ad hoc avec les univers des sources de
donnes OLAP). Il offre une gamme de calculs d'activit et de temps et inclut des fonctions telles que
les curseurs de temps pour rendre l'analyse des donnes OLAP aussi simple que possible.
Remarque :
L'application Web Analysis, dition pour OLAP est uniquement disponible sous forme d'application
Web Java. Il n'existe pas d'application correspondante pour .NET.
3.3.4.7 SAP BusinessObjects Mobile
2012-05-10 78
Architecture
SAP BusinessObjects Mobile permet aux utilisateurs d'accder distance aux mmes rapports,
mtriques et donnes en temps rel Business Intelligence (BI) disponibles dans les applications client
de bureau depuis un appareil sans fil. Le contenu est optimis pour les priphriques mobiles de sorte
que les utilisateurs peuvent facilement accder aux rapports courants, naviguer dans ces rapports et
les analyser sans aucune formation supplmentaire.
Avec SAP BusinessObjects Mobile, les responsables et les techniciens de l'information disposent en
permanence de donnes jour sur la base desquelles ils peuvent prendre des dcisions avises. Les
quipes de vente et service aprs-vente peuvent fournir tout moment des informations pertinentes
relatives au client, au produit et l'ordre de travail.
SAP BusinessObjects Mobile prend en charge une large gamme de priphriques mobiles, y compris
BlackBerry, Windows Mobile et Symbian.
Pour en savoir plus sur l'installation, la configuration et le dploiement Mobile, reportez-vous au Guide
d'installation et de dploiement de SAP BusinessObjects Mobile. Pour en savoir plus sur l'utilisation
de SAP BusinessObjects Mobile, reportez-vous au guide Utilisation de SAP BusinessObjects Mobile.
3.4 Workflows de processus
Lors de l'excution de tches telles que la connexion, la planification ou la visualisation d'un rapport,
des flux d'informations qui transitent sur le systme et les serveurs communiquent entre eux. La section
suivante dcrit certains des flux de traitement tels qu'ils se produisent dans la plateforme de BI.
Pour visualiser d'autres workflows de processus avec des supports visuels voir les tutoriels produit
officiels de la plateforme SAP BusinessObjects Business Intelligence 4.x l'adresse :
http://scn.sap.com/docs/DOC-8292
3.4.1 Dmarrage et authentification
3.4.1.1 Connexion la plateforme SAP BusinessObjects Business Intelligence
Ce workflow dcrit une connexion utilisateur une application Web de la plateforme SAP
BusinessObjects Business Intelligence partir d'un navigateur Web. Ce workflow s'applique aux
applications Web telles que la zone de lancement BI et la CMC (Central Management Console).
1. Le navigateur (client Web) envoie la demande de connexion via le serveur Web au serveur
d'applications Web o s'excute l'application Web.
2012-05-10 79
Architecture
2. Le serveur d'applications Web dtermine qu'il s'agit d'une requte de connexion. Le serveur
d'applications Web envoie le nom d'utilisateur, le mot de passe et le type d'authentification au CMS
pour authentification.
3. Le CMS valide le nom d'utilisateur et le mot de passe par rapport la base de donnes approprie.
Dans ce cas, l'authentification Enterprise est utilise et les rfrences de l'utilisateur sont authentifies
par rapport la base de donnes systme du CMS.
4. Une fois la validation russie, le CMS cre une session pour l'utilisateur dans la mmoire.
5. Le CMS envoie une rponse au serveur d'applications Web pour l'aviser que la validation a russi.
6. Le serveur d'applications Web gnre un jeton de connexion pour la session utilisateur dans la
mmoire. Durant la reste de la session, le serveur d'applications Web utilise le jeton de connexion
pour valider l'utilisateur auprs du CMS. Le serveur d'applications Web gnre la page Web suivante
pour l'envoyer au client Web.
7. Le serveur d'applications Web envoie la page Web suivante au serveur Web.
8. Le serveur Web envoie la page Web au client Web, o elle s'affiche dans le navigateur de l'utilisateur.
3.4.1.2 Dmarrage du SIA
Un SIA (Server Intelligence Agent) peut tre configur pour dmarrer automatiquement avec le systme
d'exploitation hte ou manuellement avec le CCM (Central Configuration Manager).
Un SIA extrait des informations sur les serveurs qu'il gre depuis un CMS (Central Management Server).
Si le SIA utilise un CMS local et que celui-ci n'est pas en cours d'excution, le SIA le dmarre. Si un
SIA utilise un CMS distant, il tente de s'y connecter.
Une fois le SIA lanc, la squence d'vnements ci-aprs est excute.
1. Le SIA recherche un SMS dans son cache.
a. Si le SIA est configur pour dmarrer un CMS local et que le CMS n'est pas en cours d'excution,
le SIA le dmarre et se connecte.
b. Si le SIA est configur pour utiliser un CMS en cours d'excution (local ou distant), il tente de se
connecter au premier CMS dans son cache. Si ce CMS n'est pas disponible, il tente de se
connecter au CMS suivant dans son cache. Si aucun des CMS mis en cache n'est disponible,
le SIA attend qu'un CMS soit disponible.
2. Le CMS confirme l'identit du SIA pour s'assurer qu'il est valide.
3. Une fois le SIA connect un CMS, il demande une liste de serveurs grer.
Remarque :
Le SIA ne stocke pas d'informations sur les serveurs qu'il gre. Les informations de configuration
qui dterminent quel serveur est gr par un SIA sont stockes dans la base de donnes systme
du CMS et sont extraites du CMS par le SIA son dmarrage.
4. Le CMS demande la base de donnes systme du CMS la liste des serveurs grs par le SIA.
La configuration de chaque serveur est galement extraite.
5. Le CMS renvoie au SIA la liste des serveurs et leur configuration.
2012-05-10 80
Architecture
6. Le SIA lance chaque serveur configur pour dmarrer automatiquement avec la configuration
correspondante et surveille son statut. Chaque serveur lanc par le SIA est configur pour utiliser
le mme CMS que le SIA.
Les serveurs non configurs pour dmarrer automatiquement avec le SIA ne sont pas lancs.
3.4.1.3 Fermeture du SIA
Vous pouvez arrter automatiquement le SIA (Server Intelligence Agent) en arrtant le systme
d'exploitation de l'hte ou l'arrter manuellement dans le CCM (Central Configuration Manager).
A la fermeture du SIA, les tapes suivantes sont excutes :
Le SIA informe le CMS qu'il est en cours de fermeture.
a. Si le SIA est en cours d'arrt car le systme d'exploitation hte se referme, il demande ses
serveurs de s'arrter. Les serveurs qui ne s'arrtent pas au bout de 25 secondes sont forcs de
s'arrter.
b. Si le SIA est arrt manuellement, il attend que le serveur gr ait termin de traiter les travaux
existants. Dans ce cas, les serveurs grs n'acceptent pas de nouveaux travaux. Une fois les
travaux termins, les serveurs s'arrtent. Lorsque tous les serveurs sont arrts, le SIA s'arrte
galement.
Remarque :
Lors d'un arrt forc, le SIA ordonne tous les serveurs grs de s'arrter immdiatement.
3.4.2 Objets de programme
3.4.2.1 Dfinition de la planification d'un objet programme
Ce workflow dcrit le processus d'un utilisateur planifiant l'excution d'un objet programme une heure
future partir d'une application Web comme la CMC (Central Management Console) ou la zone de
lancement BI.
1. L'utilisateur envoie la demande de planification au serveur d'applications Web partir du client Web,
via le serveur Web.
2. Le serveur d'applications Web interprte la demande et dtermine qu'il s'agit d'une demande de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
la base de donnes, les valeurs des paramtres, la destination et le format au CMS (Central
Management Server) spcifi.
2012-05-10 81
Architecture
3. Le CMS vrifie si l'utilisateur dispose des droits appropris pour planifier l'objet. Si tel est le cas, le
CMS ajoute un nouvel enregistrement la base de donnes systme du CMS. Le CMS ajoute
galement l'instance sa liste de planifications en attente.
4. Le CMS envoie une rponse au serveur d'applications Web pour l'aviser que l'opration de
planification a russi.
5. Le serveur d'applications Web gnre la page HTML suivante et l'envoie au client Web via le serveur
Web.
3.4.2.2 Un objet programme planifi s'excute
Ce workflow dcrit le processus d'un objet programme planifi excut une heure planifie.
1. Le CMS (Central Management Server) vrifie la base de donnes systme du CMS pour dterminer
si une planification de rapport SAP Crystal doit tre excute ce moment.
2. A l'heure du travail planifi, le CMS recherche un service de planification du programme s'excutant
sur un Adaptative Job Server. Le CMS envoie les informations sur le travail au service de planification
de programme.
3. Le service de planification du programme communique avec l'Input File Repository Server (FRS)
pour obtenir l'objet programme.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
4. Le service de planification du programme lance le programme.
5. Le service de planification du programme met priodiquement jour le statut des travaux sur le
CMS. Le statut actuel est Traitement en cours.
6. Le service de planification du programme envoie un fichier journal l'Output FRS. L'Output File
Repository Server notifie au service de planification du programme que l'objet a t planifi en lui
envoyant un fichier journal de l'objet.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
7. Le service de planification du programme met jour le statut du travail sur le CMS. Le statut actuel
est Russite.
8. Le CMS met jour le statut des travaux dans sa mmoire, puis il crit les informations sur l'instance
dans la base de donnes systme du CMS.
3.4.3 Crystal Reports
2012-05-10 82
Architecture
3.4.3.1 Visualisation d'une page de rapport SAP Crystal mise en cache
Ce workflow dcrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal (par
exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport existe
dj sur un serveur de mise en cache. Ce workflow s'applique SAP Crystal Reports 2011 et SAP
Crystal Reports pour Enterprise.
1. Le client Web envoie une demande de visualisation dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprte la demande et dtermine qu'il s'agit d'une demande de
visualisation d'une page de rapport slectionne. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vrifier que l'utilisateur a les droits appropris pour
visualiser le rapport.
3. Le CMS contrle la base de donnes systme du CMS pour vrifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une rponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requte au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
6. Le serveur de mise en cache Crystal Reports dtermine si le fichier .epf demand existe dans le
rpertoire de la mmoire cache. Dans cet exemple, le fichier .epf s'y trouve.
7. Le serveur de mise en cache Crystal Reports renvoie la page demande au serveur d'applications
Web.
8. Le serveur d'applications Web envoie via le serveur Web la page au client Web, o elle s'affiche.
3.4.3.2 Visualisation d'une page SAP Crystal Reports 2011 non mise en cache
Ce workflow dcrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal
Reports 2011 (par exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la
page du rapport n'existe pas encore sur un serveur de mise en cache.
1. L'utilisateur envoie la requte de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprte la demande et dtermine qu'il s'agit d'une demande de
visualisation d'une page de rapport slectionne. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vrifier que l'utilisateur a les droits appropris pour
visualiser le rapport.
3. Le CMS contrle la base de donnes systme du CMS pour vrifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une rponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
2012-05-10 83
Architecture
5. Le serveur d'applications Web envoie une requte au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
6. Le Crystal Reports Cache Server dtermine si le fichier demand existe dans le rpertoire cache.
Dans cet exemple, le fichier .epf demand ne se trouve pas dans le rpertoire de la mmoire
cache.
7. Le serveur de mise en cache Crystal Reports envoie la requte au serveur de traitement Crystal
Reports 2011.
8. Le serveur de traitement Crystal Reports 2011 envoie une requte l'Output File Repository Server
(FRS) pour obtenir l'instance de rapport demande. L'Output FRS envoie l'instance de rapport
demande au serveur de traitement Crystal Reports 2011.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
9. Le serveur de traitement Crystal Reports 2011 ouvre l'instance de rapport et vrifie si le rapport
contient des donnes. Le serveur de traitement Crystal Reports 2011 dtermine que le rapport
contient des donnes, puis il cre le fichier .epf pour la page de rapport demande sans se
connecter la base de donnes de production.
10. Le serveur de traitement Crystal Reports 2011 envoie le fichier .epf au serveur de mise en cache
Crystal Reports.
11. Le serveur de traitement Crystal Reports 2011 crit le fichier .epf dans le rpertoire de la mmoire
cache.
12. Le Crystal Reports Cache Server envoie la page demande au serveur d'applications Web.
13. Le serveur d'applications Web envoie via le serveur Web la page au client Web, o elle s'affiche.
3.4.3.3 Visualisation d'un rapport SAP Crystal Reports 2011 la demande
Ce workflow dcrit le processus d'un utilisateur demandant une page de rapport SAP Crystal
Reports 2011 la demande pour consulter les dernires donnes. Par exemple, depuis le visualiseur
de rapport de la zone de lancement BI.
1. L'utilisateur envoie la requte de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprte la demande et dtermine qu'il s'agit d'une demande de
visualisation d'une page de rapport slectionne. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vrifier que l'utilisateur a les droits appropris pour
visualiser le rapport.
3. Le CMS contrle la base de donnes systme du CMS pour vrifier que l'utilisateur dispose des
droits suffisants pour visualiser le rapport.
4. Le CMS envoie une rponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requte au serveur de mise en cache Crystal Reports
pour lui demander la page du rapport (fichier .epf).
2012-05-10 84
Architecture
6. Le Crystal Reports Cache Server vrifie si la page existe dj. Sauf si le rapport rpond aux exigences
du partage de rapport la demande (dans un dlai dfini par rapport une autre requte la
demande, connexion la base de donnes, paramtres), le serveur de mise en cache Crystal
Reports envoie une requte au serveur de traitement Crystal Reports pour gnrer la page.
7. Le serveur de traitement Crystal Reports 2011 demande l'objet rapport l'Input File Repository
Server (FRS). L'Input FRS transmet une copie de l'objet au serveur de traitement Crystal
Reports 2011.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
8. Le serveur de traitement Crystal Reports 2011 ouvre le rapport dans sa mmoire et vrifie s'il contient
des donnes. Dans cet exemple, il n'y a pas de donnes dans l'objet rapport, le serveur de traitement
Crystal Reports 2011 se connecte la source de donnes pour rcuprer les donnes et gnrer
le rapport.
9. Le serveur de traitement Crystal Reports 2011 envoie la page (fichier .epf) au serveur de mise en
cache Crystal Reports. Le serveur de mise en cache Crystal Reports stocke une copie du fichier
.epf dans son rpertoire de mmoire cache dans l'attente de nouvelles demandes de visualisation.
10. Le Crystal Reports Cache Server envoie la page au serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page au client Web, o elle s'affiche.
3.4.3.4 Dfinition de la planification d'un rapport SAP Crystal
Ce workflow dcrit le processus d'un utilisateur planifiant l'excution d'un rapport SAP Crystal une
heure future partir d'une application Web comme la CMC (Central Management Console) ou la zone
de lancement BI. Ce workflow s'applique SAP Crystal Reports 2011 et SAP Crystal Reports pour
Enterprise.
1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprte la requte URL et dtermine qu'il s'agit d'une requte de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
la base de donnes, les valeurs des paramtres, la destination et le format au CMS (Central
Management Server) spcifi.
3. Le CMS vrifie si l'utilisateur dispose des droits appropris pour planifier l'objet. Si tel est le cas, le
CMS ajoute un nouvel enregistrement la base de donnes systme du CMS. Le CMS ajoute
galement l'instance sa liste de planifications en attente.
4. Le CMS envoie une rponse au serveur d'applications Web pour l'aviser que l'opration de
planification a russi.
5. Le serveur d'applications Web gnre la page HTML suivante et l'envoie au client Web via le serveur
Web.
2012-05-10 85
Architecture
3.4.3.5 Un rapport SAP Crystal Reports 2011 s'excute
Ce workflow dcrit le processus d'un rapport SAP Crystal Reports 2011 planifi excut une heure
planifie.
1. Le CMS (Central Management Server) vrifie la base de donnes systme du CMS pour dterminer
si une planification de rapport SAP Crystal doit tre excute ce moment.
2. A l'heure du travail planifi, le CMS recherche un service de planification Crystal Reports 2011
disponible s'excutant sur un Adaptive Job Server (en fonction de la valeur Nombre maximal de
travaux autoriss configure sur chaque Adaptive Job Server). Le CMS envoie les informations
sur le travail (ID rapport, format, destination, informations de connexion, paramtres et formules de
slection) au service de planification Crystal Reports 2011.
3. Le service de planification Crystal Reports 2011 communique avec l'Input File Repository Server
(FRS) pour obtenir un exemple de rapport conforme l'ID du rapport demand.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
4. Le service de planification Crystal Reports 2011 lance le processus JobChildserver.
5. Le processus enfant (JobChildserver) lance ProcReport.dll lorsqu'il reoit le modle de l'Input
File Repository Server. ProcReport.dll contient tous les paramtres que le CMS a transmis au
service de planification Crystal Reports 2011.
6. ProcReport.dll dmarre crpe32.dll, qui traite le rapport d'aprs les paramtres transmis.
7. Pendant que crpe32.dll continue traiter le rapport, des enregistrements sont rcuprs dans
la source de donnes selon les dfinitions du rapport.
8. Le service de planification Crystal Reports 2011 met priodiquement jour le statut des travaux sur
le CMS. Le statut actuel est Traitement en cours.
9. Une fois que le rapport est compil dans la mmoire du service de planification Crystal Reports 2011,
il peut tre export dans un autre format, par exemple PDF (Portable Document Format).
crxfpdf.dll est utilis lors de l'exportation en PDF.
10. Le rapport contenant les donnes enregistres est envoy l'emplacement planifi (courrier
lectronique par exemple), puis l'Output FRS.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
11. Le service de planification Crystal Reports 2011 met jour le statut du travail sur le CMS. Le statut
actuel est Russite.
12. Le CMS met jour le statut des travaux dans sa mmoire, puis il crit les informations sur l'instance
dans la base de donnes systme du CMS.
2012-05-10 86
Architecture
3.4.4 Web Intelligence
3.4.4.1 Visualisation d'un document SAP BusinessObjects Web Intelligence sur
demande
Ce workflow dcrit le processus d'un utilisateur visualisant un document SAP BusinessObjects Web
Intelligence la demande pour consulter les dernires donnes. Par exemple, depuis le visualiseur
Web Intelligence de la zone de lancement BI.
1. Un navigateur Web envoie la demande de visualisation au serveur d'applications Web, via le serveur
Web.
2. Le serveur d'applications Web interprte la demande et dtermine qu'il s'agit d'une demande de
visualisation d'un document Web Intelligence. Le serveur d'applications Web envoie une demande
au CMS (Central Management Server) pour vrifier que l'utilisateur a les droits appropris pour
visualiser le document.
3. Le CMS contrle la base de donnes systme du CMS pour vrifier que l'utilisateur dispose des
droits suffisants pour visualiser le document.
4. Le CMS envoie une rponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le document.
5. Le serveur d'applications Web envoie une requte au Web Intelligence Processing Server pour
obtenir le document.
6. Le Web Intelligence Processing Server demande l'Input File Repository Server le document, ainsi
que le fichier d'univers sur lequel le document demand est bas. Le fichier d'univers contient des
informations sur la mtacouche, notamment les droits au niveau des lignes et des colonnes.
7. L'Input File Repository Server transmet au serveur de traitement de Web Intelligence une copie du
document, ainsi que le fichier d'univers sur lequel le document demand est bas.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
8. Le Moteur de rapport Web Intelligence (sur le serveur de traitement Web Intelligence) ouvre le
document en mmoire et lance QT.dll ainsi qu'un Connection Server en cours de traitement.
9. QT.dll gnre, valide et rgnre le code SQL, puis se connecte la base de donnes pour
excuter la requte. Le Connection Server utilise le code SQL pour extraire les donnes de la base
de donnes et les envoyer au moteur de rapport, o a lieu le traitement du document.
10. Le Web Intelligence Processing Server envoie la page de document visualiser demande au
serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page de document au client Web, o
elle s'affiche.
2012-05-10 87
Architecture
3.4.4.2 Dfinition de la planification d'un document SAP BusinessObjects Web
Intelligence
Ce workflowdcrit le processus d'un utilisateur planifiant l'excution d'un document SAPBusinessObjects
Web Intelligence une heure future partir d'une application Web comme la CMC(Central Management
Console) ou la zone de lancement BI.
1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web,
via le serveur Web.
2. Le serveur d'applications Web interprte la requte URL et dtermine qu'il s'agit d'une requte de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
la base de donnes, les valeurs des paramtres, la destination et le format au CMS (Central
Management Server) spcifi.
3. Le CMS vrifie si l'utilisateur dispose des droits appropris pour planifier l'objet. Si tel est le cas, le
CMS ajoute un nouvel enregistrement la base de donnes systme du CMS. Le <Variable to
replace "CMS"/> ajoute galement l'instance sa liste de planifications en attente.
4. Le CMS envoie une rponse au serveur d'applications Web pour l'aviser que l'opration de
planification a russi.
5. Le serveur d'applications Web gnre la page HTML suivante et l'envoie au client Web via le serveur
Web.
3.4.4.3 Un document SAP BusinessObjects Web Intelligence planifi s'excute
Ce workflowdcrit le processus d'un document SAP BusinessObjects Web Intelligence planifi excut
une heure planifie.
1. Le CMS(Central Management Server) contrle la base de donnes systme du CMSpour dterminer
si l'excution d'un document Web Intelligence est planifie.
2. A l'heure planifie, le CMS recherche un service de planification Web Intelligence s'excutant sur
un Adaptative Job Server. Le CMS envoie la demande de planification et toutes les informations la
concernant au service de planification Web Intelligence.
3. Le service de planification Web Intelligence recherche un serveur de traitement Web Intelligence
disponible d'aprs la valeur Nombre maximal de connexions configure sur chaque serveur de
traitement Web Intelligence
4. Le serveur de traitement Web Intelligence dtermine l'emplacement de l'Input File Repository Server
(FRS) qui hberge le document et le fichier mtacouche d'univers sur lequel ce document est bas.
Le serveur de traitement Web Intelligence demande ensuite le document l'Input File Repository
Server. L'Input File Repository Server recherche le document Web Intelligence ainsi que le fichier
d'univers sur lequel ce document est bas, et les transmet au serveur de traitement Web Intelligence.
2012-05-10 88
Architecture
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
5. Le document Web Intelligence est stock dans un rpertoire temporaire sur le Web Intelligence
Processing Server. Le Web Intelligence Processing Server ouvre le document en mmoire. QT.dll
gnre le code SQL partir de l'univers sur lequel est bas le document. Les bibliothques
Connection Server incluses dans le serveur de traitement Web Intelligence se connectent la source
de donnes. Les donnes de la requte retournent via QT.dll au moteur de rapport du serveur de
traitement Web Intelligence, o le document est trait. Une nouvelle instance russie est cre.
6. Le serveur de traitement Web Intelligence charge l'instance du document sur l'Output File Repository
Server.
Remarque :
Cette tape ncessite galement une communication avec le CMS pour localiser le serveur et les
objets requis.
7. Le serveur de traitement Web Intelligence notifie au service de planification Web Intelligence (sur
l'Adaptive Job Server) que la cration du document est termine. Si le document est planifi pour
une destination spcifique (systme de fichiers, FTP, SMTP ou bote de rception), l'Adaptive Job
Server extrait le document trait de l'Output File Repository Server et l'envoie chaque destination
spcifie. Cela n'est pas le cas dans cet exemple.
8. Le service de planification Web Intelligence met jour le statut du travail sur le CMS.
9. Le CMS met jour le statut des travaux dans sa mmoire, puis il crit les informations sur l'instance
dans la base de donnes systme du CMS.
3.4.5 Analyse
3.4.5.1 Visualisation d'un espace de travail SAP Analysis, dition pour OLAP
Ce workflow dcrit le processus d'un utilisateur demandant visualiser un espace de travail SAP
Analysis, dition pour OLAP, depuis la zone de lancement BI.
1. Le client Web envoie une requte de visualisation d'un nouvel espace de travail au serveur
d'applications Web, via le serveur Web. Le client Web communique avec le serveur d'applications
Web en utilisant la technologie DHTML AJAX (Asynchronous JavaScript and XML). La technologie
AJAX permet la mise jour partielle d'une page, ce qui vite l'affichage d'une nouvelle page
chaque nouvelle requte.
2. Le serveur d'applications Web traduit la requte et l'envoie ensuite au CMS (Central Management
Server) pour dterminer si un utilisateur a les droits requis pour visualiser ou crer un espace de
travail.
2012-05-10 89
Architecture
3. Le CMS extrait les rfrences de connexion de l'utilisateur de la base de donnes systme du CMS.
4. Si l'utilisateur est autoris visualiser ou crer un espace de travail, le CMS le confirme au serveur
d'applications Web. En mme temps, il envoie aussi une liste de tous les Multi-Dimensional Analysis
Services (MDAS) disponibles.
5. Le serveur d'applications Web choisit un MDAS dans la liste des services disponibles, puis envoie
ce service une requte CORBA pour trouver le(s) serveur(s) OLAP appropri(s) pour crer un
espace de travail ou actualiser un espace de travail existant.
6. Le MDAS doit communiquer avec l'Input File Repository Server (FRS) pour extraire le document
de l'espace de travail appropri qui contient les informations relatives la base de donnes OLAP
sous-jacente, ainsi qu'une requte OLAP initiale ayant t enregistre avec lui. L'Input File Repository
Server extrait l'espace de travail Advanced Analysis appropri du rpertoire sous-jacent et le transmet
au serveur MDAS.
7. Le MDAS ouvre l'espace de travail, formule une requte et envoie cette requte au serveur de base
de donnes OLAP. Le MDAS doit utiliser un client de base de donnes OLAP appropri et configur
pour la source de donnes OLAP. La requte du client Web doit tre traduite en requte OLAP
approprie. Le serveur de base de donnes OLAP renvoie le rsultat de la requte au MDAS.
8. Le MDAS, en fonction du type de la requte (requte de cration, de visualisation, d'impression ou
d'exportation), affiche un aperu du rsultat afin de permettre au serveur Java WAS de terminer
l'affichage plus rapidement. Le MDAS renvoie les packages XML du rsultat affich au serveur
d'applications Web.
9. Le serveur d'applications Web affiche l'espace de travail et envoie la page mise en forme ou une
partie de celle-ci au client Web, via le serveur Web. Le client Web affiche la page mise jour ou la
nouvelle page demande. Cette solution sans client ne ncessite aucun tlchargement de
composants Java ou ActiveX.
2012-05-10 90
Architecture
Gestion des licences
4.1 Gestion des cls de licence
Cette section explique comment grer les cls de licence pour votre dploiement de la plateforme de
BI.
Rubriques associes
Pour afficher les informations de licence
Pour ajouter une cl de licence
Pour visualiser l'activit du compte actuel
4.1.1 Pour afficher les informations de licence
La zone de gestion Cls de licence de la CMC identifie le nombre de licences d'accs simultans,
d'utilisateurs nomms et de processeurs associes chaque cl.
1. Accdez la zone de gestion Cls de licence de la CMC.
2. Slectionnez une cl de licence.
Les dtails associs la cl figurent dans la zone Informations sur la cl de licence. Pour acqurir
des cls de licence supplmentaires, contactez votre reprsentant commercial SAP.
Rubriques associes
Gestion des cls de licence
Pour ajouter une cl de licence
Pour visualiser l'activit du compte actuel
4.1.2 Pour ajouter une cl de licence
2012-05-10 91
Gestion des licences
Si vous effectuez une mise niveau partir d'une version d'essai du produit, vrifiez que vous supprimez
la cl Evaluation avant de procder l'ajout de nouvelles cls de licence ou de codes cl d'activation
de produit.
Remarque :
Si vous avez reu de nouvelles cls de licence suite une modification de la manire dont votre
entreprise implmente les licences de la plateforme de BI, vous devez supprimer toutes les cls de
licence prcdentes du systme pour rester en conformit.
1. Accdez la zone de gestion Cls de licence de la CMC.
2. Saisissez la cl dans le champ Ajouter une cl.
3. Cliquez sur Ajouter.
La cl est ajoute la liste.
Rubriques associes
Pour afficher les informations de licence
Pour visualiser l'activit du compte actuel
4.1.3 Pour visualiser l'activit du compte actuel
1. Accdez la zone de gestion Paramtres de la CMC.
2. Cliquez sur Afficher les mtriques systme globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplmentaires.
Rubriques associes
Gestion des cls de licence
Pour ajouter une cl de licence
Pour afficher les informations de licence
4.2 Mesure des licences
Le BOLMT (BusinessObjects License Measurement Tool) est un utilitaire de ligne de commande Java
qui permet de recueillir et de stocker les donnes de licence de la plateforme de BI. Le document XML
de sortie, qui contient des mesures de dploiement de licences, est envoy vers les services GLAS
(Global License Auditing Services) de SAP des fins de consolidation dans le cadre de l'audit de
licences.
2012-05-10 92
Gestion des licences
L'administrateur systme installe et excute le BOLMT pour chaque cluster de la plateforme de BI
chaque fois qu'un audit de licences est demand. BOLMT recueille les mesures d'utilisation des licences
Nommes et Utilisateur simultan.
L'administrateur peut indiquer un rpertoire de sortie spcifique pour le document XML et configurer
le document de sortie de manire ce qu'il ne contienne aucune information susceptible de permettre
d'identifier les utilisateurs systme.
4.2.1 Excution d'un audit de licences
Pour effectuer un audit de licences, vous devez disposer des droits d'administrateur et d'un accs au
rpertoire contenant le fichier BOLMT.jar dans l'installation de la plateforme de BI.
1. Ouvrez une console de ligne de commande.
2. Accdez au rpertoire contenant les excutables Java de votre installation de la plateforme de BI
Par dfaut, le fichier est install dans le rpertoire suivant :[REPINSTALL]\SAP BusinessObjects
Enterprise XI 4.0\java\lib
3. Excutez le fichier BOLMT.jar.
La commande d'excution est entre au format suivant : -jar BOLMT.jar [options] <outputFile>
Le tableau ci-dessous rsume les options disponibles :
Description Option
Spcifie l'identificateur de nom et le numro de port utilis pour le Central Manage-
ment Server (CMS). Indiqu sous la forme nom du cms:numro de port. Par
dfaut, les paramtres du CMS pour l'hte local sont utiliss si ce paramtre n'est
pas spcifi.
-c --cms
Spcifie le mot de passe utilis par le compte administrateur pour se connecter au
CMS.
-p --pass
word
Spcifie la mthode d'authentification utilise pour tablir la connexion entre l'utilisa-
teur et le CMS. La mthode par dfaut est Entreprise spcifie sous la forme secE
nterprise.
-a--auth
Spcifie que le document d'audit de sortie doit filtrer toute information personnelle
susceptible de permettre d'identifier les utilisateurs.
-s--sani
tize
Remarque :
La spcification du fichier de sortie constitue toujours le dernier argument de la ligne de commande.
Ce paramtre est facultatif. Si aucun argument n'est spcifi, la sortie standard de la console est
utilise. Vous pouvez galement acheminer la sortie vers le script en tant qu'argument de ligne de
commande.
2012-05-10 93
Gestion des licences
Exemple :
C:\Program Files (x86)\SAP
Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files
(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin
\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator
-p=7juujg --auth=secEnterprise --sanitize audit.xml
2012-05-10 94
Gestion des licences
Gestion des utilisateurs et des groupes
5.1 Prsentation de la gestion des comptes
La gestion des comptes concerne toutes les tches relatives la cration, au mappage, la modification
et l'organisation des informations concernant les utilisateurs et les groupes. La zone de gestion
"Utilisateurs et groupes" de la CMC (Central Management Console) fournit un emplacement central
pour excuter ces tches.
Une fois les comptes d'utilisateur et les groupes crs, vous pouvez ajouter des objets et dfinir les
droits correspondants. Lorsque les utilisateurs se connectent, ils peuvent visualiser les objets l'aide
de la zone de lancement BI ou de leur application Web personnalise.
5.1.1 Gestion des utilisateurs
Dans la zone de gestion des "Utilisateurs et groupes", vous pouvez saisir toutes les informations
requises pour accder la plateforme de BI. Vous pouvez galement visualiser les deux comptes
d'utilisateur par dfaut rsums dans le tableau Comptes d'utilisateur par dfaut.
Tableau 5-1 : Comptes d'utilisateur par dfaut
Description Nom du compte
Cet utilisateur appartient aux groupes Adminis
trateurs et Tout le monde. Un administrateur
peut excuter toutes les tches dans toutes les
applications de la plateforme de BI (telles que la
CMC, le CCM, l'Assistant de publication et la
Zone de lancement BI).
Administrateur
Cet utilisateur appartient au groupe Tout le mo-
nde. Ce compte est activ par dfaut et aucun
mot de passe ne lui est affect par le systme.
Si vous lui en affectez un, la connexion unique
la zone de lancement BI est rompue.
Guest
2012-05-10 95
Gestion des utilisateurs et des groupes
Description Nom du compte
Il s'agit d'un compte en lecture seule utilis par
SAP Solution Manager pour accder aux compo-
sants de la plateforme de BI.
SMAdmin
5.1.2 Gestion des groupes
Les groupes sont des rassemblements d'utilisateurs qui partagent les mmes droits de compte. Vous
pouvez par consquent crer des groupes par service, rle ou emplacement. Les groupes vous
permettent de modifier les droits des utilisateurs dans un seul endroit (un groupe), au lieu de modifier
individuellement les droits de chaque compte d'utilisateur. Vous pouvez galement affecter des droits
d'accs aux objets un ou plusieurs groupes.
Dans la zone "Utilisateurs et groupes", vous pouvez crer des groupes donnant plusieurs personnes
le droit d'accder au rapport ou au dossier appropri. Cela vous permet ainsi de modifier un seul compte
d'utilisateur au lieu de la totalit. Vous pouvez galement visualiser les divers comptes de groupe par
dfaut rsums dans le tableau Comptes de groupe par dfaut.
Pour visualiser les groupes disponibles dans la CMC, cliquez sur Liste des groupes dans le panneau
Arborescence. Vous pouvez galement cliquer sur Hirarchie de groupe pour afficher une liste
hirarchique de tous les groupes disponibles.
Tableau 5-2 : Comptes de groupe par dfaut
Description Nom du compte
Les membres de ce groupe peuvent effectuer
toutes les tches dans toutes les applications de
la plateforme de BI (CMC, CCM, Assistant de
publication et Zone de lancement BI). Par dfaut,
le groupe Administrateurs contient uniquement
l'utilisateur Administrator.
Administrateurs
Chaque utilisateur appartient au groupe Tout le
monde.
Tout le monde
Les membres de ce groupe ont accs Query
as a Web Service.
Concepteur de groupe QaaWS
2012-05-10 96
Gestion des utilisateurs et des groupes
Description Nom du compte
Les membres de ce groupe ont accs l'applica-
tion Outil de conversion de rapports.
Utilisateurs de l'outil de conversion de rap-
ports
Les membres de ce groupe ont accs l'applica-
tion Gestionnaire de traduction.
Traducteurs
Les utilisateurs qui appartiennent ce groupe di-
sposent des droits d'accs aux dossiers Universe
Designer et Connexions. Ils peuvent contrler
les droits d'accs l'application Designer. Vous
devez ajouter des utilisateurs ce groupe selon
vos besoins. Aucun utilisateur n'appartient ce
groupe par dfaut.
Utilisateurs de Universe Designer
Rubriques associes
Fonctionnement des droits sur la plateforme de BI
Octroi d'un droit d'accs des utilisateurs et des groupes
5.1.3 Types d'authentification disponibles
Avant de configurer des comptes et des groupes d'utilisateurs sur la plateforme de BI, choisissez le
type d'authentification que vous souhaitez utiliser. Le tableau Types d'authentification rsume les
options d'authentification qui peuvent tre disponibles, en fonction des outils de scurit utiliss par
votre organisation.
Tableau 5-3 : Types d'authentification
Description Type d'authentification
Utilisez l'authentification systme par dfaut En-
terprise si vous prfrez crer des comptes et
des groupes distincts utiliser sur la plateforme
de BI ou si vous n'avez pas encore dfini de hi-
rarchie d'utilisateurs et de groupes sur un serveur
de rpertoires LDAP ou un serveur Windows AD.
Enterprise
2012-05-10 97
Gestion des utilisateurs et des groupes
Description Type d'authentification
Si vous configurez un serveur de rpertoires
LDAP, vous pouvez utiliser les comptes d'utilisa-
teur et les groupes existants sur la plateforme de
BI. En mappant les comptes LDAP la plateforme
de BI, les utilisateurs peuvent accder aux appli-
cations de la plateforme de BI avec leur nom
d'utilisateur et leur mot de passe LDAP. Ainsi, il
est inutile de recrer des comptes d'utilisateur et
des groupes individuels sur la plateforme de BI.
LDAP
Vous pouvez utiliser des comptes et des groupes
d'utilisateurs Windows AD existants sur la plate-
forme de BI. Le mappage de comptes AD la
plateforme de BI permet aux utilisateurs de se
connecter aux applications de la plateforme de
BI au moyen de leur nom d'utilisateur et de leur
mot de passe AD. Ainsi, il est inutile de recrer
des comptes d'utilisateur et des groupes indivi-
duels sur la plateforme de BI.
Windows AD
Vous pouvez mapper des rles SAP existants
dans les comptes de la plateforme de BI. Le
mappage de rles SAP permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs rfrences SAP. Ainsi, il est in-
utile de recrer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
SAP
Vous pouvez mapper des rles Oracle EBS exis-
tants dans les comptes de la plateforme de BI.
Le mappage de rles Oracle EBS permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs rfrences Oracle
EBS. Ainsi, il est inutile de recrer des comptes
d'utilisateur et des groupes individuels sur la pla-
teforme de BI.
Oracle EBS
Vous pouvez mapper des rles Siebel existants
dans les comptes de la plateforme de BI. Le
mappage de rles Siebel permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs rfrences Siebel. Ainsi, il est
inutile de recrer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
Siebel
2012-05-10 98
Gestion des utilisateurs et des groupes
Description Type d'authentification
Vous pouvez mapper des rles PeopleSoft exis-
tants dans les comptes de la plateforme de BI.
Le mappage de rles PeopleSoft permet aux uti-
lisateurs de se connecter aux applications de la
plateforme de BI avec leurs rfrences People-
Soft. Ainsi, il est inutile de recrer des comptes
d'utilisateur et des groupes individuels sur la pla-
teforme de BI.
PeopleSoft Enterprise
Vous pouvez mapper des rles JDEdwards exis-
tants dans les comptes de la plateforme de BI.
Le mappage de rles JD Edwards permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs rfrences JD Ed-
wards. Ainsi, il est inutile de recrer des comptes
d'utilisateur et des groupes individuels sur la pla-
teforme de BI.
JD Edwards EnterpriseOne
5.2 Gestion des comptes Enterprise et des comptes gnraux
L'authentification Enterprise tant l'authentification par dfaut pour la plateforme de BI, elle est
automatiquement active lorsque vous installez le systme pour la premire fois. Lorsque vous ajoutez
et grez des utilisateurs et des groupes, la plateforme de BI conserve des informations relatives
l'utilisateur et au groupe au sein de sa base de donnes.
Remarque :
Lorsqu'un utilisateur se dconnecte de sa session Web dans la plateforme de BI en naviguant vers
une page hors plateforme ou en fermant son navigateur Web, sa session Enterprise n'est pas
dconnecte et la licence est toujours utilise. La session Enterprise expirera au bout de 24 heures
environ. Pour terminer la session Enterprise de l'utilisateur et librer la licence pour d'autres utilisateurs,
l'utilisateur doit se dconnecter de la plateforme.
5.2.1 Pour crer un compte d'utilisateur
Lorsque vous crez un nouvel utilisateur, spcifiez ses proprits et slectionnez le ou les groupes
auxquels il doit appartenir.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Grer > Nouveau > Nouvel utilisateur.
2012-05-10 99
Gestion des utilisateurs et des groupes
La bote de dialogue "Nouvel utilisateur" s'affiche.
3. Cration d'un utilisateur Enterprise
a. Slectionnez Enterprise dans la liste Type d'authentification.
b. Saisissez le nom de compte, le nom complet, l'adresse lectronique et une description.
Conseil :
Utilisez la zone de description pour inclure des informations supplmentaires sur l'utilisateur ou
le compte.
c. Dfinissez les informations concernant le mot de passe et les paramtres
4. Pour crer un utilisateur qui se connectera l'aide d'un autre type d'authentification, slectionnez
l'option approprie dans la liste Type d'authentification et entrez le nom du compte.
5. Spcifiez comment dsigner le compte utilisateur selon les options stipules par votre contrat de
licence de plateforme SAP BusinessObjects Business Intelligence.
Choisissez l'option Utilisateur simultan si cet utilisateur relve d'un contrat de licence qui
indique le nombre d'utilisateurs autoriss se connecter simultanment.
Choisissez l'option Utilisateur nomm si cet utilisateur relve d'un contrat de licence qui associe
un utilisateur spcifique une licence. Les licences Utilisateur nomm sont utiles pour les
personnes qui doivent accder la plateforme de BI, quel que soit le nombre d'utilisateurs
connects ce moment l.
6. Cliquez sur Crer et fermer.
L'utilisateur est ajout au systme, ainsi qu'au groupe Tout le monde automatiquement. Une bote
de rception est automatiquement cre pour l'utilisateur, ainsi qu'un alias Enterprise. Vous pouvez
maintenant ajouter l'utilisateur un groupe ou spcifier les droits de cet utilisateur.
Rubriques associes
Fonctionnement des droits sur la plateforme de BI
5.2.2 Pour modifier un compte d'utilisateur
Suivez cette procdure pour modifier les proprits ou l'appartenance d'un utilisateur un groupe.
Remarque :
L'utilisateur sera affect s'il est connect lorsque vous apportez la modification.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur dont vous souhaitez modifier les proprits.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" correspondant cet utilisateur s'affiche.
4. Modifiez les proprits de l'utilisateur.
2012-05-10 100
Gestion des utilisateurs et des groupes
Outre les options disponibles au moment de la cration du compte, vous pouvez maintenant
dsactiver le compte en cochant la case Le compte est dsactiv.
Remarque :
Les modifications apportes au compte d'utilisateur n'apparaissent qu' la prochaine connexion de
l'utilisateur.
5. Cliquez sur Enregistrer et fermer.
Rubriques associes
Pour crer un alias pour un utilisateur existant
5.2.3 Pour supprimer un compte d'utilisateur
Suivez cette procdure pour supprimer un compte d'utilisateur. L'utilisateur peut recevoir un message
d'erreur s'il est connect lors de la suppression de son compte. Lorsque vous supprimez un compte
d'utilisateur, le dossier Favoris, les catgories personnelles et la bote de rception de cet utilisateur
sont galement supprims.
Si vous pensez que l'utilisateur peut avoir besoin d'accder son compte ultrieurement, cochez la
case Le compte est dsactiv dans la page "Proprits" de l'utilisateur slectionn, plutt que de
supprimer le compte.
Remarque :
La suppression d'un compte utilisateur n'empche pas ncessairement l'utilisateur de se reconnecter
la plateforme de BI. Si le compte utilisateur existe galement sur un systme tiers et si le compte
appartient un groupe tiers mapp la plateforme de BI, il se peut que l'utilisateur puisse encore se
connecter.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur supprimer.
3. Cliquez sur Grer > Supprimer.
La bote de dialogue de confirmation de la suppression apparat.
4. Cliquez sur OK.
Le compte d'utilisateur est supprim.
Rubriques associes
Pour modifier un compte d'utilisateur
Pour supprimer un compte d'utilisateur
Pour dsactiver un alias
2012-05-10 101
Gestion des utilisateurs et des groupes
5.2.4 Pour crer un groupe
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Grer > Nouveau > Nouveau groupe.
La bote de dialogue "Crer un groupe d'utilisateurs" s'affiche.
3. Saisissez le nom et la description du groupe.
4. Cliquez sur OK.
Aprs avoir cr un nouveau groupe, vous pouvez ajouter des utilisateurs, des sous-groupes ou spcifier
une appartenance un groupe de sorte que le nouveau groupe soit rellement un sous-groupe. Etant
donn qu'ils apportent des niveaux d'organisation supplmentaires, les sous-groupes sont utiles lorsque
vous dfinissez des droits d'accs aux objets en vue de contrler l'accs des utilisateurs au contenu
de la plateforme de BI.
5.2.5 Pour modifier les proprits d'un groupe
Vous pouvez modifier les proprits d'un groupe en changeant des paramtres.
Remarque :
Les utilisateurs appartenant ce groupe seront affects par la modification leur prochaine connexion.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, slectionnez le groupe.
2. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
3. Modifiez les proprits du groupe.
Cliquez sur les liens dans la liste de navigation pour accder diffrentes botes de dialogue et
modifier les proprits correspondantes.
Si vous souhaitez modifier le titre ou la description du groupe, cliquez sur Proprits.
Si vous souhaitez modifier les droits que les utilisateurs ou groupes principaux possdent sur le
groupe, cliquez sur Scurit de l'utilisateur.
Si vous souhaitez modifier les valeurs de profil des membres de groupes, cliquez sur Valeurs
du profil.
Si vous souhaitez ajouter le groupe en tant que sous-groupe un autre groupe, cliquez sur
Membre de.
4. Cliquez sur Enregistrer.
2012-05-10 102
Gestion des utilisateurs et des groupes
5.2.6 Pour afficher les membres d'un groupe
Suivez cette procdure si vous voulez afficher les utilisateurs qui appartiennent un groupe spcifique.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Dveloppez Hirarchie de groupe dans le panneau Arborescence.
3. Slectionnez le groupe dans le panneau Arborescence.
Remarque :
L'affichage de la liste peut prendre quelques minutes si le groupe contient un grand nombre
d'utilisateurs ou s'il est mapp un rpertoire tiers.
La liste des utilisateurs appartenant au groupe s'affiche.
5.2.7 Pour ajouter des sous-groupes
Vous pouvez ajouter un groupe un autre groupe. Dans ce cas, le groupe ajout devient un sous-groupe.
Remarque :
L'ajout d'un sous-groupe est similaire la spcification d'une appartenance un groupe.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, slectionnez le groupe ajouter en
tant que sous-groupe un autre groupe.
2. Cliquez sur Actions > Joindre au groupe.
La bote de dialogue "Joindre au groupe" apparat.
3. Dplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
4. Cliquez sur OK.
Rubriques associes
Pour dfinir l'appartenance un groupe
5.2.8 Pour dfinir l'appartenance un groupe
Un groupe peut devenir membre d'un autre groupe. Le groupe qui devient membre est appel
sous-groupe. Le groupe auquel vous ajoutez le sous-groupe est le groupe parent. Les sous-groupes
hritent des droits du groupe parent.
2012-05-10 103
Gestion des utilisateurs et des groupes
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, cliquez sur le groupe ajouter un
autre groupe.
2. Cliquez sur Actions > Membre de.
La bote de dialogue "Membre de" s'affiche.
3. Cliquez sur Joindre au groupe.
La bote de dialogue "Joindre au groupe" apparat.
4. Dplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
Tout droit associ au groupe parent sera hrit par le nouveau groupe que vous avez cr.
5. Cliquez sur OK.
Vous revenez la bote de dialogue "Membre de" et le groupe parent apparat dans la liste des
groupes parent.
5.2.9 Pour supprimer un groupe
Vous pouvez supprimer un groupe lorsque celui-ci ne vous est plus ncessaire. Vous ne pouvez pas
supprimer les groupes par dfaut Administrateurs et Tout le monde.
Remarque :
Les utilisateurs appartenant au groupe supprim seront affects par la modification leur prochaine
connexion.
Ils perdront tous les droits qu'ils ont hrits de ce groupe.
Pour supprimer un groupe d'authentification tiers, tel que le groupe Utilisateurs Windows AD, utilisez
la zone de gestion "Authentification" de la CMC.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez le groupe supprimer.
3. Cliquez sur Grer > Supprimer.
La bote de dialogue de confirmation de la suppression apparat.
4. Cliquez sur OK.
Le groupe est supprim.
5.2.10 Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc
Vous pouvez ajouter des utilisateurs ou des groupes d'utilisateurs en bloc la CMC l'aide d'un fichier
CSV (valeurs spares par des virgules).
2012-05-10 104
Gestion des utilisateurs et des groupes
1. Connectez-vous la CMC
2. Dans l'onglet "Utilisateurs et groupes d'utilisateurs", cliquez sur Grer > Importer un groupe
d'utilisateurs > Utilisateur/Groupe/Rfrence de BDD.
La fentre "Utilisateur/Groupe/Rfrence de BDD" s'affiche.
3. Cliquez sur Parcourir, slectionnez un fichier CSV et cliquez sur Vrifier.
Le fichier est trait. Si les donnes sont correctement mises en forme, le bouton Importer devient
actif.
4. Cliquez sur Importer.
Les utilisateurs ou groupes d'utilisateurs sont imports dans la CMC.
Exemple : Exemple de fichier CSV
Add,MyGroup,MyUser1,MyFullName,Password1,My1@example.com,ProfileName,ProfileValue
Rappel :
Les conditions suivantes s'appliquent au processus d'addition en bloc :
Toute ligne du fichier CSV contenant une erreur sera ignore par le processus d'importation.
Les comptes utilisateur sont initialement dsactivs aprs avoir t imports.
Vous pouvez utiliser des mots de passe vierges lors de la cration d'utilisateurs. Toutefois, vous
devez utiliser un mot de passe d'authentification Enterprise valide pour toute mise jour ultrieure
vers des utilisateurs existants.
Pour vrifier les utilisateurs et groupes d'utilisateurs que vous avez ajouts, cliquez sur Gestion >
Importer un groupe d'utilisateurs > Historique dans l'onglet "Utilisateurs et groupes".
5.2.11 Pour activer le compte Guest
Le compte Guest est dsactiv par dfaut pour garantir que personne ne puisse se connecter la
plateforme de BI l'aide de ce compte. Ce paramtre par dfaut dsactive galement la fonction de
connexion unique anonyme de la plateforme de BI, ce qui empche les utilisateurs d'accder la zone
de lancement BI sans fournir un nom d'utilisateur et un mot de passe valides.
Effectuez cette tche si vous voulez activer le compte Guest afin que les utilisateurs n'aient pas besoin
de leur propre compte pour accder la zone de lancement BI.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Liste des utilisateurs dans le panneau Navigation.
3. Slectionnez Guest.
4. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
5. Dsactivez la case Le compte est dsactiv.
6. Cliquez sur Enregistrer & Fermer.
2012-05-10 105
Gestion des utilisateurs et des groupes
5.2.12 Ajout d'utilisateurs des groupes
Vous pouvez ajouter des utilisateurs des groupes de la faon suivante :
Slectionnez le groupe, puis cliquez sur Actions > Ajouter des membres au groupe.
Slectionnez l'utilisateur, puis cliquez sur Actions > Membre de.
Slectionnez l'utilisateur, puis cliquez sur Actions > Joindre au groupe.
Les procdures suivantes dcrivent l'ajout d'utilisateurs des groupes l'aide de ces mthodes.
Rubriques associes
Pour dfinir l'appartenance un groupe
5.2.12.1 Pour ajouter un utilisateur un ou plusieurs groupes
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur que vous souhaitez ajouter un groupe.
3. Cliquez sur Actions > Joindre au groupe.
Remarque :
Tous les utilisateurs de la plateforme de BI qui figurent dans le systme appartiennent au groupe
Tout le monde.
La bote de dialogue "Joindre au groupe" apparat.
4. Dplacez le groupe auquel vous souhaitez ajouter l'utilisateur de la liste Groupes disponibles vers
la liste Groupe(s) de destination.
Conseil :
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour slectionner plusieurs groupes.
5. Cliquez sur OK.
5.2.12.2 Pour ajouter un ou plusieurs utilisateurs un groupe
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, slectionnez le groupe.
2. Cliquez sur Actions > Ajouter des membres au groupe.
La bote de dialogue "Ajouter" apparat.
2012-05-10 106
Gestion des utilisateurs et des groupes
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualise et affiche tous les comptes utilisateur du
systme.
4. Dplacez l'utilisateur que vous souhaitez ajouter au groupe de la liste Utilisateurs/Groupes
disponibles vers la liste Utilisateurs/Groupes slectionns.
Conseil :
Pour slectionner plusieurs utilisateurs, utilisez la combinaison de touches MAJ + clic ou CTRL
+ clic.
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
S'il existe plusieurs utilisateurs dans votre systme, cliquez sur les boutons Prcdente et Suivante
pour naviguer dans la liste des utilisateurs.
5. Cliquez sur OK.
5.2.13 Modification des paramtres de mot de passe
Dans la CMC, vous pouvez modifier les paramtres de mot de passe d'un utilisateur donn ou de tous
les utilisateurs du systme. Les diffrentes restrictions numres ci-dessous s'appliquent uniquement
aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mapps une base
de donnes d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de manire gnrale, votre
systme externe vous permettra de placer des restrictions similaires sur les comptes externes.
5.2.13.1 Pour modifier les paramtres de mot de passe d'utilisateur
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur dont vous voulez modifier les paramtres de mot de passe.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
4. Cochez ou dcochez la case associe au paramtre de mot de passe que vous voulez modifier.
Les options disponibles sont les suivantes :
Le mot de passe n'expire jamais
L'utilisateur doit modifier le mot de passe la prochaine session
L'utilisateur ne peut pas modifier le mot de passe
5. Cliquez sur Enregistrer & Fermer.
2012-05-10 107
Gestion des utilisateurs et des groupes
5.2.13.2 Pour modifier les paramtres gnraux de mot de passe
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La bote de dialogue "Enterprise" s'affiche.
3. Activez la case cocher pour chaque paramtre de mot de passe utiliser et renseignez-la si
ncessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramtres que
vous pouvez configurer.
Tableau 5-4 : Paramtres de mot de passe
Valeur maximale recomma-
nde
Valeur minimale Paramtre de mot de passe
Sans objet Sans objet
Appliquer des mots de passe
casse mixte
64 caractres 0 caractre
Doit comprendre N carac-
tres au minimum
100 jours 1 jour
Doit changer de mot de pa-
sse tous les N jours
100 mots de passe 1 mot de passe
Les N derniers mots de pa-
sse ne peuvent tre rutili-
ss
100 minutes 0 minute
Le mot de passe peut tre
modifi aprs N minute(s)
100 checs 1 chec
Dsactiver le compte aprs
N checs de connexion
100 minutes 1 minute
Rinitialiser le nombre
d'checs de connexionaprs
N minute(s)
2012-05-10 108
Gestion des utilisateurs et des groupes
Valeur maximale recomma-
nde
Valeur minimale Paramtre de mot de passe
100 minutes 0 minute
Ractiver le compte aprs
N minute(s)
4. Cliquez sur Mettre jour.
Remarque :
Les comptes utilisateur inactifs ne seront pas dsactivs automatiquement.
5.2.14 Octroi d'un droit d'accs des utilisateurs et des groupes
Vous pouvez accorder des utilisateurs et des groupes un accs administratif d'autres utilisateurs
et groupes. Les droits d'administration incluent : affichage, modification et suppression d'objets ; affichage
et suppression d'instances d'objet ; suspension d'instances d'objet. Par exemple, pour le dpannage
et la maintenance du systme, vous pouvez accorder au dpartement informatique un accs permettant
de modifier et de supprimer des objets.
Rubriques associes
Pour affecter des utilisateurs ou groupes principaux une liste de contrle d'accs d'un objet
5.2.15 Contrle de l'accs aux botes de rception des utilisateurs
Lorsque vous ajoutez un utilisateur, le systme cre automatiquement une bote de rception pour cet
utilisateur. Cette bote de rception porte le mme nom que l'utilisateur. Par dfaut, seuls l'utilisateur
et l'administrateur disposent des droits ncessaires pour y accder.
Rubriques associes
Gestion des paramtres de scurit des objets dans la CMC
5.2.16 Configuration des options de la zone de lancement BI
2012-05-10 109
Gestion des utilisateurs et des groupes
Les administrateurs peuvent configurer la manire dont les utilisateurs accdent aux applications de
la zone de lancement BI. En configurant les proprits dans le fichier BOE.war, vous pouvez spcifier
quelles informations sont disponibles dans l'cran de connexion de l'utilisateur. Vous pouvez galement
utiliser la CMC pour dfinir les prfrences de la zone de lancement BI pour certains groupes.
5.2.16.1 Configuration de l'cran de connexion la zone de lancement BI
Par dfaut, l'cran de connexion la zone de lancement BI invite les utilisateurs saisir leur nom
d'utilisateur et leur mot de passe. Vous pouvez faire en sorte que les utilisateurs soient galement
invits saisir le nom du CMS et le type d'authentification. Pour modifier ce paramtre, vous devez
modifier les proprits de la zone de lancement BI pour le fichier BOE.war.
5.2.16.1.1 Pour configurer l'cran de connexion la zone de lancement BI
Pour modifier les paramtres par dfaut de la zone de lancement BI, vous devez dfinir des proprits
de la zone de lancement BI personnalises pour le fichier BOE.war. Ce fichier est dploy sur l'ordinateur
hbergeant le serveur d'applications Web.
1. Accdez au rpertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
Remarque :
Si vous utilisez la version Tomcat installe avec la plateforme de BI, vous pouvez galement accder
au rpertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we
bapps\BOE\WEB-INF\config\custom
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation
de votre serveur d'applications Web pour dterminer le chemin appropri.
2. Crez un fichier.
Remarque :
Utilisez Notepad ou tout autre diteur de texte.
3. Enregistrez le fichier sous le nom suivant .
BIlaunchpad.properties
4. Pour inclure les options d'authentification l'cran de connexion la zone de lancement BI, ajoutez
ceci :
authentication.visible=true
5. Pour modifier le type d'authentification par dfaut, ajoutez ceci :
authentication.default=<authentication>
Remplacez <authentification> par l'une des options suivantes
2012-05-10 110
Gestion des utilisateurs et des groupes
valeur d'<authentification> Type d'authentification
secEnterprise Entreprise
secLDAP LDAP
secWinAD Windows AD
secSAPR3 SAP
6. Pour inviter les utilisateurs fournir le nomdu CMS dans l'cran de connexion la zone de lancement
BI :
cms.visible=true
7. Enregistrez le fichier et fermez-le.
8. Redmarrez le serveur d'applications Web.
Utilisez WDeploy pour redployer le fichier BOE.war sur le serveur d'applications Web. Pour en savoir
plus sur l'utilisation de WDeploy, voir le Guide de dploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
5.2.16.2 Configuration des prfrences de la zone de lancement BI pour les
groupes
Les administrateurs peuvent dfinir les prfrences de la zone de lancement BI pour des groupes
d'utilisateurs spcifiques. Ces prfrences servent de prfrences par dfaut de la zone de lancement
BI pour tous les utilisateurs d'un groupe.
Remarque :
Si les utilisateurs ont dfini leurs propres prfrences, les paramtres dfinis par l'administrateur
n'apparaissent pas dans leur vue de la zone de lancement BI. Les utilisateurs peuvent passer tout
moment de leurs propres prfrences celles dfinies par l'administrateur et utiliser les paramtres
mis jour.
Par dfaut, aucune prfrence de la zone de lancement BI n'est dfinie pour les groupes d'utilisateurs.
Les administrateurs peuvent spcifier des prfrences pour les lments suivants :
Onglet Accueil
Documents - emplacement initial
Dossiers
Catgories
Nombre d'objets par page
Colonnes affiches dans l'onglet "Document"
Mode d'affichage des documents dans la zone de lancement BI : via des onglets ou une nouvelle
fentre
2012-05-10 111
Gestion des utilisateurs et des groupes
5.2.16.2.1 Dfinition des Prfrences de la zone de lancement BI pour un groupe
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez le groupe dans la liste Groupe.
3. Cliquez sur Actions > Prfrences de la zone de lancement BI
La bote de dialogue "Prfrences de la zone de lancement BI" s'affiche.
4. Dcochez la case Aucune prfrence dfinie
5. Pour dfinir la vue initiale d'un utilisateur :
Pour afficher l'onglet Accueil lorsque l'utilisateur se connecte pour la premire fois, cliquez sur
l'onglet Accueil et slectionnez l'une des options suivantes :
Description Option
L'onglet Accueil par dfaut fourni avec la plateforme de BI sera
utilis.
Onglet Accueil par dfaut
Affiche un site Web spcifique comme onglet d'accueil.
Cliquez sur Parcourir l'onglet Accueil. Dans la fentre "Sle-
ctionnez un onglet Accueil personnalis", slectionnez un objet
de rfrentiel et cliquez sur Ouvrir.
Remarque :
Vous pouvez uniquement slectionner un objet qui a dj t
ajout au rfrentiel.
Slectionner l'onglet Accueil
Pour afficher l'onglet Documents lorsque l'utilisateur se connecte pour la premire fois, cliquez
sur Documents et prcisez quel tiroir et quel nud doivent tre ouverts par dfaut. Vous pouvez
slectionner l'un des lments suivants :
2012-05-10 112
Gestion des utilisateurs et des groupes
Options de nud Tiroir
Slectionnez l'un des lments suivants afficher dans l'onglet Documents :
Mes favoris
Catgories personnelles
Ma bote de rception
Mes documents
Slectionnez l'une des options suivantes :
Dossiers publics : affiche les dossiers publics dans l'onglet Documents
Slection du dossier public
Cliquez sur Parcourir le dossier pour slectionner un dossier public spci-
fique afficher dans l'onglet Documents.
Dossiers
Slectionnez l'une des options suivantes :
Catgories d'entreprise : affiche les catgories d'entreprise dans l'onglet
Documents
Slection d'une catgorie d'entreprise
Cliquez sur Parcourir le dossier pour slectionner une catgories d'entre-
prise spcifique afficher dans l'onglet Documents.
Catgories
Par exemple, si vous voulez que le tiroir Mes documents soit ouvert dans la bote de rception
BI de l'utilisateur lorsqu'il se connecte pour la premire fois, cliquez sur Mes documents, puis
cliquez sur Ma bote de rception.
6. Sous "Slectionner les colonnes affiches dans l'onglet Documents", slectionnez le rsum
afficher pour chaque objet dans le panneau Liste de l'utilisateur :
Type
Dernire excution
Instances
Description
Cr par
Cration le
Emplacement (catgories)
Reu le (bote de rception)
De (bote de rception)
7. Sous "Dfinissez l'emplacement de visualisation de document", choisissez la faon dont vous voulez
que les utilisateurs visualisent les documents.
Les utilisateurs peuvent ouvrir les documents visualiser dans des nouveaux onglets de la zone
de lancement BI ou dans de nouvelles fentres du navigateur Web.
8. Saisissez un nombre dans le champ Nombre d'objets (max.) par page pour indiquer le nombre
maximal d'objets afficher par page lorsque l'utilisateur visualise des listes d'objets.
9. Cliquez sur Enregistrer et fermer.
2012-05-10 113
Gestion des utilisateurs et des groupes
Les prfrences spcifies serviront de prfrences par dfaut pour les utilisateurs du groupe que vous
avez slectionn l'tape 2. Les utilisateurs pourront toutefois crer leurs propres prfrences de zone
de lancement BI s'ils disposent des droits correspondants. Si vous ne souhaitez pas que les utilisateurs
puissent modifier les prfrences, ne leur accordez pas le droit de dfinir des prfrences.
5.2.17 Gestion des attributs des utilisateurs systme
Les administrateurs de la plateforme de BI dfinissent et ajoutent les attributs utilisateur aux utilisateurs
systme partir de la zone "Gestion des attributs utilisateur" de la CMC(Central Management Console).
Vous pouvez grer et tendre les attributs pour les rpertoires utilisateur suivants :
Enterprise
SAP
LDAP
Windows AD
Lorsque les utilisateurs sont imports partir de rpertoires externes tels que SAP, LDAP et
Windows AD, les attributs suivants sont gnralement disponibles pour les comptes utilisateur :
Nom complet
Adresse lectronique
Noms d'attribut
Tous les attributs utilisateur ajouts au systme doivent comporter les proprits suivantes :
"Nom"
"Nom interne"
La proprit Nom est l'identifiant convivial de l'attribut, elle est utilise pour les filtres des requtes
lors de l'utilisation de la couche smantique d'univers. Pour plus d'informations, voir la documentation
de l'outil de conception d'univers. Le Nom interne est utilis par les dveloppeurs lors de l'utilisation
du SDK de la plateforme de BI. Cette proprit est un nom gnr automatiquement.
Les noms d'attribut ne doivent pas dpasser 256 caractres et ne doivent contenir que des caractres
alphanumriques et des traits de soulignement.
Conseil :
Si vous indiquez des caractres non valides pour le nom de l'attribut, la plateforme de BI ne gnre
pas de nom interne. Les noms internes ne peuvent pas tre modifis aprs leur ajout au systme, il
est conseill de slectionner soigneusement des noms d'attributs appropris contenant des caractres
alphanumriques et des traits de soulignement.
Prrequis pour le dveloppement des attributs utilisateur mapps
Avant d'ajouter des attributs utilisateur au systme, tous les plug-ins d'authentification pertinents des
rpertoires utilisateur externes doivent tre configurs pour mapper et importer les utilisateurs. En
outre, vous devez bien connatre le schma des rpertoires externes, en particulier les noms utiliss
pour les attributs cibles.
2012-05-10 114
Gestion des utilisateurs et des groupes
Remarque :
Pour le plug-in d'authentification SAP, seuls les attributs contenus dans la structure BAPIADDR3 peuvent
tre spcifis. Pour en savoir plus, consultez votre documentation SAP.
Une fois la plateforme de BI configure pour mapper les nouveaux attributs utilisateur, les valeurs sont
renseignes lors de la prochaine actualisation planifie. Tous les attributs utilisateur sont affichs dans
la zone de gestion "Utilisateurs et groupes" de la CMC.
5.2.18 Classement des attributs utilisateur entre plusieurs options d'authentification
Lors de la configuration des plug-ins d'authentification de SAP, LDAP, et AD, il est possible de spcifier
les niveaux de priorit de chaque plug-in par rapport aux deux autres. Par exemple, dans la zone
d'authentification LDAP, utilisez l'option Dfinir la liaison d'attribut LDAP par rapport aux autres
liaisons d'attribut pour spcifier la priorit LDAP par rapport SAP et AD. La valeur d'attribut
d'Enterprise a par dfaut la priorit sur toute valeur de rpertoire externe. Les priorits de liaison
d'attributs sont dfinies au niveau du plug-in d'authentification et non pas pour un attribut spcifique.
Rubriques associes
Pour configurer l'hte LDAP
Pour importer des rles SAP
Pour mapper les utilisateurs et groupes AD et configurer le plug-in de scurit Windows AD
5.2.19 Pour ajouter un nouvel attribut utilisateur
Avant d'ajouter un nouvel attribut utilisateur la plateforme de BI, vous devez configurer le plug-in
d'authentification du rpertoire externe partir duquel vous mappez les comptes utilisateur. Ceci
s'applique SAP, LDAP et Windows AD. En particulier, vous devez cocher l'option Importer le nom
complet, l'adresse lectronique et les autres attributs de tous les plugins requis.
Remarque :
Vous n'avez aucune tche prliminaire excuter avant de procder l'extension des attributs des
comptes utilisateur Enterprise.
Conseil :
Si vous prvoyez d'tendre les mmes attributs pour plusieurs plug-ins, il est recommand de dfinir
le niveau de priorit de liaison appropri pour les attributs conformment aux exigences de votre
entreprise.
1. Accdez la zone de gestion "Gestion des attributs utilisateur" de la CMC.
2. Cliquez sur l'icne Ajouter un nouvel attribut de mappage personnalis.
2012-05-10 115
Gestion des utilisateurs et des groupes
La bote de dialogue "Ajouter un attribut" s'affiche.
3. Spcifiez un nom pour le nouvel attribut dans le champ "Nom".
La plateforme de Business Intelligence utilise le nomfourni comme nomconvivial du nouvel attribut.
Lorsque vous saisissez le nom convivial, le champ "Nominterne" est automatiquement rempli selon
le schma suivant : SI_[Nomconvivival]. Lorsque l'administrateur systme spcifie un nom
d'attribut "convivial", la plateforme de Business Intelligence gnre automatiquement le nom"interne".
4. Si ncessaire, modifiez le champ "Nom Interne" l'aide de lettres, chiffres ou caractres de
soulignement.
Conseil :
La valeur du champ "Nom Interne" ne peut tre modifie qu' cette tape. Vous ne pouvez pas
modifier cette valeur aprs avoir enregistr le nouvel attribut.
Si le nouvel attribut concerne des comptes Enterprise, passez l'tape 8.
5. Slectionnez l'option approprie pour Ajouter une nouvelle source pour dans la liste et cliquez
sur l'icne Ajouter. Les options suivantes sont disponibles :
"SAP"
"LDAP"
"AD"
Une ligne de table est cre pour la source de l'attribut spcifi.
6. Sous la colonne Nom de la source de l'attribut, spcifiez le nom de l'attribut dans le rpertoire
source.
La plateforme de Business Intelligence ne fournit pas de mcanisme permettant de vrifier
automatiquement que le nom d'attribut fourni existe dans le rpertoire externe. Assurez-vous que
le nom fourni est correct et valide.
7. Rptez les tapes 5 et 6 si d'autres sources sont requises pour le nouvel attribut.
8. Cliquez sur OK pour enregistrer et soumettre le nouvel attribut la plateforme de Business
Intelligence.
Le nom du nouvel attribut, le nom interne, la source et le nom de la source de l'attribut s'affichent
dans la zone de gestion "Gestion des attributs utilisateur" de la CMC.
Le nouvel attribut et sa valeur correspondante pour chaque compte utilisateur affect s'afficheront lors
de la prochaine actualisation planifie dans la zone de gestion "Utilisateurs et groupes".
Si vous utilisez plusieurs sources pour le nouvel attribut, assurez-vous que les bonnes priorits de
liaison d'attributs sont spcifies pour chaque plug-in d'authentification.
5.2.20 Pour modifier les attributs utilisateur tendus
Utilisez la procdure suivante pour modifier les attributs utilisateur ayant t crs dans la plateforme
de BI. Il est possible de modifier :
Le nom de l'attribut dans la plateforme de BI.
2012-05-10 116
Gestion des utilisateurs et des groupes
Remarque :
Il ne s'agit pas du nom interne utilis pour l'attribut. Une fois l'attribut cr et ajout la plateforme
de Business Intelligence, le nom interne ne peut plus tre modifi. Pour supprimer un nom interne,
les administrateurs doivent supprimer l'attribut associ.
Le nom de la source de l'attribut
Sources supplmentaires pour l'attribut
1. Accdez la zone de gestion "Gestion des attributs utilisateur" de la CMC.
2. Slectionnez l'attribut modifier.
3. Cliquez sur l'icne Modifier l'attribut slectionn.
La bote de dialogue "Modifier" s'affiche.
4. Modifiez le nom de l'attribut ou les informations source.
5. Cliquez sur OK pour enregistrer et soumettre les modifications la plateforme de BI.
Les valeurs modifies apparaissent dans la zone de gestion "Gestion des attributs utilisateur" de la
CMC.
Le nom et les valeurs d'attribut modifis s'affichent aprs la prochaine actualisation planifie dans la
zone de gestion "Utilisateurs et groupes".
5.3 Gestion des alias
Si un utilisateur possde plusieurs comptes dans la plateforme de BI, vous pouvez les lier l'aide de
la fonction Affecter un alias. Cette fonction est utile lorsqu'un utilisateur possde un compte tiers mapp
Enterprise et un compte Enterprise.
L'affectation d'un alias l'utilisateur permet celui-ci de se connecter l'aide d'un nom d'utilisateur
tiers et d'un mot de passe ou d'un nom d'utilisateur Enterprise et d'un mot de passe. L'alias permet
donc un utilisateur de se connecter via plusieurs types d'authentification.
Dans la CMC, les informations d'alias sont affiches au bas de la page "Proprits" de l'utilisateur. Un
utilisateur peut possder n'importe quelle combinaison d'alias Enterprise, LDAP ou Windows AD.
5.3.1 Pour crer un utilisateur et ajouter un alias tiers
Lorsque vous crez un utilisateur et slectionnez un type d'authentification autre qu'Enterprise, le
systme cre le nouvel utilisateur dans la plateforme de BI et cre un alias tiers pour l'utilisateur.
Remarque :
Pour que le systme puisse crer l'alias tiers, les conditions suivantes doivent tre respectes :
L'outil d'authentification doit avoir t activ dans la CMC.
2012-05-10 117
Gestion des utilisateurs et des groupes
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir un groupe
dj mapp la plateforme de BI.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Grer > Nouveau > Nouvel utilisateur.
La bote de dialogue "Nouvel utilisateur" s'affiche.
3. Slectionnez le type d'authentification pour l'utilisateur, par exemple, Windows AD.
4. Saisissez le nom du compte tiers de l'utilisateur, par exemple, bsmith.
5. Slectionnez le type de connexion pour l'utilisateur.
6. Cliquez sur Crer et fermer.
L'utilisateur est ajout la plateforme de BI et un alias lui est attribu pour le type d'authentification
slectionn, par exemple, secWindowsAD:ENTERPRISE:bsmith. Si ncessaire, vous pouvez ajouter,
affecter et raffecter des alias l'utilisateur.
5.3.2 Pour crer un alias pour un utilisateur existant
Vous pouvez crer des alias pour des utilisateurs existants de la plateforme de BI. Il peut s'agir d'un
alias Enterprise ou d'un alias pour un outil d'authentification tiers.
Remarque :
Pour que le systme puisse crer l'alias tiers, les conditions suivantes doivent tre respectes :
L'outil d'authentification doit avoir t activ dans la CMC.
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir un groupe
mapp la plateforme de BI.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur auquel vous souhaitez ajouter un alias.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
4. Cliquez sur Nouvel alias.
5. Slectionnez le type d'authentification.
6. Saisissez le nom du compte de l'utilisateur.
7. Cliquez sur Mettre jour.
Un alias est cr pour l'utilisateur. Lorsque vous affichez l'utilisateur dans la CMC, au moins deux
alias apparaissent, celui dj affect l'utilisateur et celui que vous venez de crer.
8. Cliquez sur Enregistrer & Fermer pour quitter la bote de dialogue "Proprits".
2012-05-10 118
Gestion des utilisateurs et des groupes
5.3.3 Pour affecter un alias d'un autre utilisateur
Lorsque vous affectez un alias un utilisateur, vous dplacez un alias tiers d'un autre utilisateur vers
l'utilisateur affich. Vous ne pouvez pas affecter ou raffecter des alias Enterprise.
Remarque :
Si un utilisateur ne possde qu'un seul alias et si vous affectez cet alias un autre utilisateur, le systme
efface le compte de l'utilisateur, ainsi que le dossier Favoris, les catgories personnelles et la bote de
rception correspondant ce compte.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur auquel vous souhaitez affecter un alias.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
4. Cliquez sur Affecter un alias.
5. Saisissez le compte utilisateur possdant l'alias que vous souhaitez affecter, et cliquez sur
Rechercher.
6. Dplacez l'alias affecter de la liste Alias disponibles vers la liste Alias ajouter Nomutilisa
teur.
Ici Nomutilisateur reprsente le nom de l'utilisateur auquel vous affectez un alias.
Conseil :
Pour slectionner plusieurs alias, utilisez la combinaison de touches MAJ + clic ou CTRL + clic.
7. Cliquez sur OK.
5.3.4 Pour supprimer un alias
Lorsque vous supprimez un alias, celui-ci disparat totalement du systme. Si un utilisateur ne possde
qu'un seul alias que vous supprimez, le systme efface automatiquement le compte de l'utilisateur,
ainsi que le dossier Favoris, les catgories personnelles et la bote de rception correspondant ce
compte.
Remarque :
La suppression de l'alias d'un utilisateur n'empche pas ncessairement cet utilisateur de se reconnecter
la plateforme de BI. Si le compte utilisateur existe encore dans le systme tiers et si le compte
appartient un groupe mapp la plateforme de BI, celle-ci autorisera toujours l'utilisateur se
connecter. Que le systme cre un nouvel utilisateur ou qu'il affecte l'alias un utilisateur existant
dpend des options de mise jour slectionnes pour l'outil d'authentification dans la zone de gestion
"Authentification" de la CMC.
2012-05-10 119
Gestion des utilisateurs et des groupes
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur dont vous souhaitez supprimer l'alias.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
4. Cliquez sur le bouton Supprimer l'alias situ ct de l'alias que vous souhaitez supprimer.
5. Si vous devez confirmer, cliquez sur OK.
L'alias est supprim.
6. Cliquez sur Enregistrer & Fermer pour quitter la bote de dialogue "Proprits".
5.3.5 Pour dsactiver un alias
Vous pouvez empcher un utilisateur de se connecter la plateforme de BI l'aide d'une mthode
d'authentification particulire en dsactivant l'alias de l'utilisateur associ cette mthode. Pour empcher
un utilisateur d'accder totalement la plateforme, dsactivez tous les alias de cet utilisateur.
Remarque :
Le fait de supprimer un utilisateur du systme ne l'empche pas ncessairement de se reconnecter
la plateforme de BI. Si le compte utilisateur existe toujours dans le systme tiers et s'il appartient un
groupe mapp la plateforme de BI, le systme autorisera toujours l'utilisateur se connecter. Pour
tre certain qu'un utilisateur ne peut plus utiliser l'un de ses alias pour se connecter la plateforme, il
est prfrable de dsactiver cet alias.
1. Accdez la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Slectionnez l'utilisateur dont vous souhaitez dsactiver l'alias.
3. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
4. Dsactivez la case cocher Activ pour l'alias que vous souhaitez dsactiver.
Rptez cette tape pour chaque alias que vous souhaitez dsactiver.
5. Cliquez sur Enregistrer & Fermer.
L'utilisateur ne peut plus se connecter l'aide du type d'authentification que vous venez de dsactiver.
Rubriques associes
Pour supprimer un alias
2012-05-10 120
Gestion des utilisateurs et des groupes
Dfinition des droits
6.1 Fonctionnement des droits sur la plateforme de BI
Les droits sont les units de base permettant de contrler l'accs des utilisateurs aux objets, utilisateurs,
applications, serveurs et autres fonctionnalits de la plateforme de BI. Ils jouent un rle important dans
la scurisation du systme en dfinissant les actions individuelles que les utilisateurs peuvent excuter
sur les objets. Les droits vous permettent non seulement de contrler l'accs votre contenu de la
plateforme de BI, mais galement de dlguer la gestion des utilisateurs et des groupes diffrents
services et d'accorder au personnel du service informatique un accs administratif aux serveurs et
groupes de serveurs.
Il est important de noter que les droits sont dfinis sur des objets tels que les rapports et les dossiers
plutt que sur les utilisateurs ou groupes principaux qui y accdent. Par exemple, pour donner un
directeur l'accs un dossier particulier, dans la zone "Dossiers", vous ajoutez le directeur la liste
de contrle d'accs (liste des utilisateurs et groupes principaux qui ont accs un objet) pour le dossier.
Vous ne pouvez pas accorder l'accs au directeur en configurant ses droits d'accs dans la zone
"Utilisateurs et groupes". Les droits d'accs du directeur dans la zone "Utilisateurs et groupes" sont
utiliss pour accorder d'autres utilisateurs ou groupes principaux (tels que les administrateurs dlgus)
le droit d'accder au directeur en tant qu'objet du systme. De cette faon, les utilisateurs ou groupes
principaux sont eux-mmes considrs comme des objets par les autres utilisateurs disposant de droits
de gestion suprieurs.
Chaque droit sur un objet peut tre accord, refus ou non spcifi. Le modle de scurit de la
plateforme de BI consiste refuser un droit qui n'a pas t spcifi. Par ailleurs, ce mme principe
s'applique lorsque des paramtres accordent et refusent la fois un droit un utilisateur ou un groupe.
Ce modle bas sur le refus permet de veiller ce que les utilisateurs et les groupes n'acquirent
pas automatiquement des droits qui ne leur ont pas t accords explicitement.
Il existe une exception importante cette rgle. Si un droit explicitement dfini sur un objet enfant est
en contradiction avec les droits hrits de l'objet parent, le droit dfini sur l'objet enfant remplace les
droits hrits. Cette exception s'applique aux utilisateurs qui sont galement membres de groupes. Si
un utilisateur se voit accorder explicitement un droit refus au groupe de l'utilisateur, le droit dfini sur
l'utilisateur remplace les droits hrits.
Rubriques associes
Remplacement des droits
2012-05-10 121
Dfinition des droits
6.1.1 Niveaux d'accs
Les niveaux d'accs sont des groupes de droits dont les utilisateurs ont souvent besoin. Ils permettent
aux administrateurs de dfinir rapidement et uniformment les niveaux de scurit courants au lieu
d'avoir dfinir les droits individuels un par un.
La plateforme de BI est fournie avec plusieurs niveaux d'accs prdfinis. Ces niveaux d'accs prdfinis
reposent sur un modle de droits progressifs : le premier tant Visualiser et le dernier Contrle total,
chaque niveau d'accs se construisant sur les droits accords au niveau prcdent.
Cependant, vous pouvez galement crer et personnaliser vos propres niveaux d'accs, ce qui peut
rduire de faon significative les cots d'administration et de maintenance associs la scurit.
Imaginez une situation dans laquelle un administrateur doit grer deux groupes, des directeurs
commerciaux et des employs commerciaux. Les deux groupes doivent accder cinq rapports dans
le systme de la plateforme de BI, mais les directeurs commerciaux requirent davantage de droits
que les employs. Les niveaux d'accs prdfinis ne rpondent aux besoins d'aucun des deux groupes.
Au lieu d'ajouter des groupes chaque rapport en tant que groupes principaux et de modifier leurs
droits dans cinq emplacements diffrents, l'administrateur peut crer deux niveaux d'accs, Directeurs
commerciaux et Employs commerciaux. L'administrateur ajoute ensuite aux rapports les deux groupes
en tant que groupes principaux et affecte ces groupes leur niveau d'accs respectif. Si les droits
doivent tre modifis, l'administrateur peut modifier les niveaux d'accs. Etant donn que les niveaux
d'accs s'appliquent aux deux groupes sur les cinq rapports, les droits affects ces groupes sur ces
rapports sont rapidement mis jour.
Rubriques associes
Utilisation des niveaux d'accs
6.1.2 Dfinition de droits avancs
Pour vous confrer un contrle total sur la scurit des objets, la CMC vous permet de dfinir des
droits avancs. Ces paramtres avancs offrent une plus grande flexibilit pour dfinir les niveaux
de scurit des objets un niveau granulaire.
Utilisez des paramtres de droits avancs, par exemple, si vous devez personnaliser les droits d'accs
d'un utilisateur ou groupe principal sur un objet ou un ensemble d'objets particulier. Les droits avancs
sont particulirement utiles pour refuser explicitement un droit un utilisateur ou un groupe, sans
changement possible lors de modifications ultrieures de l'appartenance aux groupes ou des niveaux
de la scurit des dossiers.
Le tableau suivant rsume les diffrentes options disponibles lorsque vous dfinissez des droits avancs.
2012-05-10 122
Dfinition des droits
Tableau 6-1 : Options des droits d'accs
Description Option Icne
Le droit est accord un utilisateur ou groupe principal. Accord
Le droit est refus un utilisateur ou groupe principal. Refus
Le droit n'est pas spcifi pour un utilisateur ou groupe
principal. Par dfaut, les droits dfinis sur Non spcifi
sont refuss.
Non spcifi
Le droit s'applique l'objet. Cette option est disponible
lorsque vous cliquez sur Accord ou sur Refus.
Appliquer l'objet
Ce droit s'applique aux sous-objets. Cette option est
disponible lorsque vous cliquez sur Accord ou sur
Refus.
Appliquer au sous-objet
Rubriques associes
Droits spcifiques au type
6.1.3 Hritage
Des droits sont dfinis sur un objet pour un utilisateur ou groupe principal afin de contrler l'accs
cet objet. Cependant, il est peu pratique de dfinir la valeur explicite de chaque droit possible sur chaque
objet pour chaque utilisateur ou groupe principal. Imaginez un systme comprenant 100 droits,
1 000 utilisateurs et 10 000 objets : pour dfinir les droits explicitement sur chaque objet, le CMS devrait
stocker des milliards de droits dans sa mmoire et, point non ngligeable, un administrateur serait tenu
de dfinir manuellement chacun d'eux.
Les profils hrits rsolvent cette impraticabilit. Avec l'hritage, les droits dont les utilisateurs disposent
sur les objets du systme proviennent d'une combinaison de leur appartenance diffrents groupes
et sous-groupes et des objets qui ont hrit des droits de dossiers et sous-dossiers parents. Ces
utilisateurs peuvent hriter des droits du groupe auxquels ils appartiennent ; les sous-groupes peuvent
hriter des droits de leurs groupes parents et les utilisateurs et les groupes peuvent hriter des droits
issus de leurs dossiers parents.
Par dfaut, les utilisateurs ou groupes qui disposent de droits sur un dossier hriteront des mmes
droits sur tout objet ultrieurement publi dans ce dossier. Il est donc prfrable de commencer par
2012-05-10 123
Dfinition des droits
dfinir les droits d'accs appropris pour les utilisateurs et les groupes au niveau du dossier, puis de
publier des objets dans ce dossier.
La plateforme de BI reconnat deux types d'hritage : l'hritage de groupe et l'hritage de dossier.
6.1.3.1 Hritage de groupe
L'hritage de groupe permet aux utilisateurs ou groupes principaux d'hriter des droits des groupes
auxquels ils appartiennent. L'hritage de groupe est une fonction particulirement utile si vous organisez
tous vos utilisateurs en groupes rpartis selon les rgles de scurit en vigueur dans votre entreprise.
Le diagramme Hritage de groupe - exemple 1, illustre le mode de fonctionnement de l'hritage de
groupe. Le groupe rouge est un sous-groupe du groupe bleu et il hrite par consquent des droits du
groupe bleu. Dans ce cas, il hrite du droit 1 comme tant accord et des autres droits comme tant
non spcifis. Chaque membre du groupe rouge hrite de ces droits. En outre, tous les autres droits
dfinis sur le sous-groupe sont hrits par ses membres. Dans cet exemple, l'utilisateur vert est un
membre du groupe rouge et il hrite par consquent du droit 1 comme tant accord", des droits 2, 3,
4 et 6 comme tant non spcifis et du droit 5 comme tant refus.
Figure 6-1 : Hritage de groupe - exemple 1
Lorsque l'hritage de groupe est activ pour un utilisateur appartenant plusieurs groupes, le systme
examine les droits de tous les groupes parents lors de la vrification des rfrences de connexion.
L'utilisateur se voit refuser tout droit explicitement refus dans un groupe parent, ainsi que tout droit
non spcifi. Seuls lui sont accords les droits qu'au moins l'un des groupes lui accorde (explicitement
ou par les niveaux d'accs) et qu'aucun groupe ne lui refuse explicitement.
Dans le diagramme Hritage de groupe - exemple 2, l'utilisateur vert est un membre de deux groupes
non associs. Il hrite du groupe bleu les droits 1 et 5 accords et les autres droits non spcifis,
cependant, tant donn que l'utilisateur vert appartient galement au groupe rouge et que le droit 5 est
explicitement refus au groupe rouge, l'hritage par l'utilisateur vert du droit 5 du groupe bleu est annul.
2012-05-10 124
Dfinition des droits
Figure 6-2 : Hritage de groupe - exemple 2
Rubriques associes
Remplacement des droits
6.1.3.2 Hritage de dossier
L'hritage de dossier permet aux utilisateurs ou groupes principaux d'hriter de tous les droits qui leur
ont t accords sur le dossier parent d'un objet. L'hritage de dossier s'avre particulirement utile
lorsque vous organisez le contenu de la plateforme de BI selon une hirarchie de dossiers qui reflte
les rgles de scurit en vigueur dans votre entreprise. Par exemple, supposons que vous criez un
dossier appel Rapport des ventes et que vous accordiez votre groupe Ventes un accs Visualiser
la demande pour ce dossier. Par dfaut, tous les utilisateurs bnficiant de droits sur le dossier
Rapport des ventes hriteront des mmes droits sur les rapports que vous publierez ultrieurement
dans ce dossier. Le groupe Ventes aura donc un accs Visualiser la demande sur tous les rapports
et vous n'aurez besoin de dfinir les droits d'accs aux objets qu'une seule fois, au niveau du dossier.
Dans l'Exemple d'hritage de dossier, les droits ont t dfinis pour le groupe rouge sur un dossier.
Les droits 1 et 5 ont t accords tandis que les autres droits sont rests non spcifis. Si l'hritage
de dossier est activ, les membres du groupe rouge disposent de droits au niveau de l'objet identiques
aux droits du groupe au niveau du dossier. Les droits 1 et 5 sont hrits comme tant accords, tandis
que les autres droits restent non spcifis.
2012-05-10 125
Dfinition des droits
Figure 6-3 : Exemple d'hritage de dossier
Rubriques associes
Remplacement des droits
6.1.3.3 Remplacement des droits
Le remplacement des droits est un comportement des droits selon lequel les droits dfinis sur les
objets enfant remplacent les droits dfinis sur les objets parent. Le remplacement des droits se produit
dans les circonstances suivantes :
Gnralement, les droits dfinis sur les objets enfant ont priorit sur les droits correspondants dfinis
sur les objets parent.
Gnralement, les droits dfinis sur des sous-groupes ou membres de groupes ont priorit sur les
droits correspondants dfinis sur les groupes.
Il n'est pas ncessaire de dsactiver l'hritage pour dfinir des droits personnaliss sur un objet. L'objet
enfant hrite des paramtres de droits de l'objet parent sauf pour les droits explicitement dfinis sur
l'objet enfant. De plus, toute modification apporte aux paramtres de droits sur l'objet parent s'applique
galement l'objet enfant.
Remplacement des droits - Exemple 1 illustre comment fonctionne le remplacement des droits sur
les objets parent et enfant. L'utilisateur bleu n'a pas le droit de modifier le contenu d'un dossier ; le
sous-dossier hrite de ce paramtre de droit. Cependant, un administrateur accorde l'utilisateur bleu
des droits Modifier sur un document du sous-dossier. Le droit Modifier que l'utilisateur bleu reoit sur
le document remplace les droits hrits du dossier et du sous-dossier.
2012-05-10 126
Dfinition des droits
Figure 6-4 : Remplacement des droits - Exemple 1
Remplacement des droits - Exemple 2 illustre comment fonctionne le remplacement des droits sur
les membres et les groupes. Le groupe bleu n'a pas le droit de modifier un dossier ; le sous-groupe
bleu hrite de ce paramtre de droit. Cependant, un administrateur accorde l'utilisateur bleu, qui est
membre du groupe bleu et du sous-groupe bleu, des droits Modifier sur le dossier. Les droits Modifier
que l'utilisateur bleu obtient sur le dossier remplacent les droits hrits du groupe bleu et du sous-groupe
bleu.
Figure 6-5 : Remplacement des droits - Exemple 2
La section Remplacement des droits complexe illustre une situation dans laquelle les effets du
remplacement de droits sont moins vidents. L'utilisateur violet est membre des sous-groupes 1A et 2A,
qui se trouvent respectivement dans les groupes 1 et 2. Les groupes 1 et 2 possdent tous deux des
droits Modifier sur le dossier. Le groupe 1A hrite des droits Modifier du groupe 1, mais un administrateur
refuse ces droits Modifier au groupe 2A. Les paramtres de droits du groupe 2A remplacent ceux du
groupe 2 en raison du remplacement des droits. Par consquent, l'utilisateur violet hrite de paramtres
de droits contradictoires des groupes 1A et 2A. Les groupes 1A et 2A n'ont pas de relation parent-enfant ;
par consquent, le remplacement des droits ne s'applique pas. Les paramtres de droit d'un sous-groupe
ne remplacent pas ceux d'un autre car ils ont un statut gal. L'utilisateur violet se voit donc refuser les
droits Modifier en raison du modle de droits bas sur le refus de la plateforme de BI.
2012-05-10 127
Dfinition des droits
Figure 6-6 : Remplacement des droits complexe
Le remplacement des droits vous permet d'apporter de petites modifications aux paramtres de droits
sur un objet enfant sans annuler tous les paramtres de droits hrits. Prenons l'exemple d'un
responsable des ventes qui doit visualiser des rapports confidentiels situs dans le dossier Confidentiel.
Le responsable des ventes fait partie du groupe Ventes qui n'a pas accs au dossier et son contenu.
L'administrateur accorde au responsable les droits Visualiser sur le dossier Confidentiel et continue
en refuser l'accs au groupe Ventes. Dans ce cas, les droits Visualiser accords au responsable
des ventes remplacent l'accs refus dont il a hrit en tant que membre du groupe Ventes.
6.1.3.4 Primtre des droits
Le primtre des droits permet de contrler la porte de l'hritage des droits. Pour dfinir le primtre
d'un droit, vous dcidez si le droit s'applique l'objet, ses sous-objets ou aux deux. Par dfaut, le
primtre d'un droit s'tend aux objets et aux sous-objets.
Le primtre des droits peut tre utilis pour protger un contenu personnel dans des emplacements
partags. Imaginez une situation dans laquelle le service financier possde un dossier Notes de frais
partag contenant un sous-dossier Notes de frais personnelles pour chaque employ. Les employs
souhaitent tre en mesure de visualiser le dossier Notes de frais et d'y ajouter des objets, mais ils
veulent galement protger le contenu de leur sous-dossier Notes de frais personnelles. L'administrateur
accorde tous les employs les droits Visualiser et Ajouter sur le dossier Notes de frais et limite le
primtre de ces droits ce dossier uniquement. Les droits Visualiser et Ajouter ne s'appliquent donc
pas aux sous-objets du dossier Notes de frais. L'administrateur accorde ensuite aux employs les droits
Visualiser et Ajouter sur leur propre sous-dossier Notes de frais personnelles.
Le primtre des droits peut galement limiter les droits effectifs que possde un administrateur dlgu.
Par exemple, un administrateur dlgu peut disposer de droits Modifier en toute scurit et Modifier
sur un dossier, mais le primtre de ces droits est limit au dossier uniquement et ne s'applique pas
ses sous-objets. L'administrateur dlgu ne peut pas accorder ces droits un autre utilisateur sur l'un
des sous-objets du dossier.
2012-05-10 128
Dfinition des droits
6.1.4 Droits spcifiques au type
Les droits spcifiques au type sont des droits affectant uniquement des types d'objets spcifiques,
tels que des rapports Crystal, des dossiers ou des niveaux d'accs. Les droits spcifiques au type sont
rpartis comme suit :
Droits gnraux pour le type d'objet
Ces droits sont identiques aux droits globaux gnraux (par exemple, droit d'ajout, de suppression
ou de modification d'un objet), mais vous les dfinissez sur des types d'objet spcifiques qui
remplacent les paramtres de droits globaux gnraux.
Droits spcifiques pour le type d'objet
Ces droits sont disponibles uniquement pour des types d'objets spcifiques. Par exemple, le droit
d'exportation des donnes d'un rapport s'affiche pour les rapports Crystal mais pas pour les
documents Word.
Le diagramme Droits spcifiques au type : exemple illustre le fonctionnement des droits spcifiques
au type. Dans ce diagramme, le droit 3 reprsente le droit de modification d'un objet Le groupe bleu
ne dispose pas du droit Modifier sur le dossier de niveau suprieur mais se voit attribuer cedroit, pour
les rapports Crystal situs dans le dossier et le sous-dossier. Ces droits Modifier sont spcifiques aux
rapports Crystal et remplacent les paramtres de droit d'un niveau d'accs global gnral. Par
consquent, les membres du groupe bleu possdent des droits Modifier pour les rapports Crystal mais
pas pour le fichier XLF contenu dans le sous-dossier.
Figure 6-7 : Droits spcifiques au type : exemple
Les droits spcifiques au type sont utiles car ils vous permettent de limiter les droits des utilisateurs ou
groupes principaux en fonction du type d'objet. Prenons l'exemple d'un administrateur qui souhaite que
les employs puissent ajouter des objets un dossier mais pas crer de sous-dossiers. L'administrateur
2012-05-10 129
Dfinition des droits
accorde les droits Ajouter au niveau global gnral pour le dossier, puis refuse les droits Ajouter pour
le type d'objet Dossier.
Les droits sont rpartis dans les ensembles suivants en fonction des types d'objet auxquels ils
s'appliquent :
Gnral
Ces droits affectent tous les objets.
Contenu
Ces droits sont rpartis en fonction des types de contenu d'objet particuliers. Les types de contenu
d'objet peuvent tre, par exemple, des rapports Crystal et des fichiers PDF Adobe Acrobat.
Application
Ces droits sont rpartis en fonction de l'application de la plateforme de BI affecte. Les applications
peuvent tre, par exemple, la CMC et la zone de lancement BI.
Systme
Ces droits sont rpartis en fonction du composant systme principal affect. Les composants systme
principaux peuvent tre, par exemple, des calendriers, des vnements ou encore des utilisateurs
et des groupes.
Les droits spcifiques au type se trouvent dans les ensembles Contenu, Application et Systme.
Dans chaque ensemble, les droits sont encore rpartis dans d'autres catgories en fonction du type
d'objet.
6.1.5 Dtermination des droits effectifs
Tenez compte des lments suivants lorsque vous dfinissez les droits d'accs un objet :
Chaque niveau d'accs accorde et refuse certains droits et attribut le statut "non spcifi" aux autres
droits. Lorsque plusieurs niveaux d'accs sont accords un utilisateur, le systme agrge les droits
effectifs et, par dfaut, refuse tout droit non spcifi.
Lorsque vous attribuez plusieurs niveaux d'accs un utilisateur ou groupe principal pour un objet,
cet utilisateur ou groupe principal bnficie de la combinaison des droits de chaque niveau d'accs.
Deux niveaux d'accs sont attribus l'utilisateur de Plusieurs niveaux d'accs. L'un des niveaux
d'accs accorde l'utilisateur les droits 3 et 4, alors que l'autre niveau accorde uniquement le droit 3.
Les droits effectifs de cet utilisateur sont donc les droits 3 et 4.
Figure 6-8 : Plusieurs niveaux d'accs
2012-05-10 130
Dfinition des droits
Les droits avancs peuvent tre associs aux niveaux d'accs pour personnaliser les paramtres
des droits d'accs un objet d'un utilisateur ou d'un groupe principal. Par exemple, si un droit avanc
et un niveau d'accs sont attribus explicitement un utilisateur ou un groupe principal pour un
objet et si le droit avanc est en contradiction avec un des droits du niveau d'accs, le droit avanc
remplace le droit du niveau d'accs.
Les droits avancs peuvent remplacer leurs quivalents dans les niveaux d'accs uniquement s'ils
sont dfinis sur le mme objet pour le mme utilisateur ou groupe principal. Par exemple, un droit
avanc Ajouter dfini au niveau global gnral peut remplacer le droit Ajouter gnral dfini pour
un niveau d'accs. En revanche, il ne peut pas remplacer un droit Ajouter spcifique un type dans
un niveau d'accs.
Toutefois, les droits avancs ne remplacent pas toujours les niveaux d'accs. Imaginons un utilisateur
ou un groupe principal ne disposant pas du droit Modifier sur un objet parent. En revanche, cet
utilisateur ou ce groupe principal dispose d'un niveau d'accs qui lui accorde le droit Modifier sur
l'objet enfant. L'utilisateur ou le groupe principal dispose donc bien du droit Modifier sur l'objet
enfant, car les droits dfinis pour l'objet enfant remplacent ceux dfinis pour l'objet parent.
Le droit de priorit permet de remplacer les droits hrits de l'objet parent par les droits dfinis pour
un objet enfant.
6.2 Gestion des paramtres de scurit des objets dans la CMC
Vous pouvez grer les paramtres de scurit de la plupart des objets de la CMC l'aide des options
de scurit du menu Grer. Ces options permettent d'affecter des utilisateurs ou groupes principaux
la liste de contrle d'accs d'un objet, visualiser les droits dont dispose un utilisateur ou groupe
principal et modifier les droits de l'utilisateur ou groupe principal sur cet objet.
La procdure spcifique de gestion de la scurit varie en fonction de vos besoins en matire de scurit
et du type d'objet pour lequel vous dfinissez des droits. Toutefois, en rgle gnrale, le workflow des
tches suivantes varie peu :
Visualisation des droits dont dispose un utilisateur ou groupe principal sur un objet.
Affectation d'utilisateurs ou de groupes principaux une liste de contrle d'accs pour un objet et
indication des droits et niveaux d'accs dont ces utilisateurs et groupes principaux disposent.
Dfinition des droits sur un dossier de niveau suprieur dans la plateforme de BI.
6.2.1 Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet
En rgle gnrale, vous suivez ce workflow pour visualiser les droits dont dispose un utilisateur ou
groupe principal sur un objet.
1. Slectionnez l'objet dont vous voulez visualiser les paramtres de scurit.
2. Cliquez sur Grer > Scurit de l'utilisateur.
2012-05-10 131
Dfinition des droits
La bote de dialogue "Scurit de l'utilisateur" apparat et affiche la liste de contrle d'accs de
l'objet.
3. Slectionnez un utilisateur/groupe principal dans la liste de contrle d'accs, puis cliquez sur
Visualiser la scurit.
L'"Explorateur d'autorisations" s'ouvre et affiche la liste des droits effectifs dont dispose l'utilisateur
ou groupe principal sur l'objet. En outre, l'"Explorateur d'autorisations" permet d'effectuer les tches
suivantes :
Rechercher un autre utilisateur ou groupe principal dont vous voulez visualiser les droits.
Filtrer les droits affichs selon les critres suivants :
droits affects
droits accords
droits non affects
droits du niveau d'accs
type d'objet
nom du droit
Trier la liste de droits affiche par ordre croissant ou dcroissant selon les critres suivants :
ensemble
type
nom du droit
statut du droit (accord, refus ou non spcifi)
En outre, vous pouvez cliquer sur l'un des liens dans la colonne "Source" pour afficher la source
des droits hrits.
6.2.2 Pour affecter des utilisateurs ou groupes principaux une liste de contrle
d'accs d'un objet
Les listes de contrle d'accs spcifient les utilisateurs auxquels des droits sont accords ou refuss
sur un objet. En rgle gnrale, vous suivez ce workflow pour affecter un utilisateur ou groupe principal
une liste de contrle d'accs d'un objet et pour spcifier les droits dont dispose l'utilisateur ou le
groupe principal sur cet objet.
1. Slectionnez l'objet auquel ajouter un utilisateur ou groupe principal.
2. Cliquez sur Grer > Scurit de l'utilisateur.
La bote de dialogue "Scurit de l'utilisateur" apparat et affiche la liste de contrle d'accs.
3. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La bote de dialogue "Ajouter des utilisateurs/groupes principaux" s'affiche.
4. Dplacez les utilisateurs et groupes que vous souhaitez ajouter en tant qu'utilisateurs ou groupes
principaux de la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes
slectionns.
2012-05-10 132
Dfinition des droits
5. Cliquez sur Ajouter et affecter la scurit.
6. Slectionnez les niveaux d'accs que vous voulez accorder l'utilisateur ou groupe principal.
7. Choisissez d'activer ou non l'hritage de groupe ou de dossier.
Si ncessaire, vous pouvez galement modifier les droits un niveau granulaire pour remplacer certains
droits un niveau d'accs donn.
Rubriques associes
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
6.2.3 Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
En rgle gnrale, il est recommand d'utiliser des droits d'accs pour accorder des droits un utilisateur
ou groupe principal. Toutefois, vous devrez peut-tre remplacer certains droits granulaires un niveau
d'accs donn dans certaines circonstances. Les droits avancs permettent de personnaliser les droits
d'un utilisateur ou groupe principal en venant s'ajouter aux niveaux d'accs dont dispose dj cet
utilisateur ou groupe principal. En rgle gnrale, vous suivez ce workflow pour attribuer des droits
avancs un utilisateur ou groupe principal sur un objet.
1. Affectez l'utilisateur/groupe principal la liste de contrle d'accs pour l'objet.
2. Une fois l'utilisateur/groupe principal ajout, accdez Grer > Scurit de l'utilisateur pour
afficher la liste de contrle d'accs de l'objet.
3. Slectionnez l'utilisateur ou groupe principal dans la liste de contrle d'accs, puis cliquez sur
Affecter la scurit.
La bote de dialogue "Affecter la scurit" s'affiche.
4. Cliquez sur l'onglet Avanc.
5. Cliquez sur Ajouter/Supprimer des droits.
6. Modifiez les droits de l'utilisateur ou groupe principal.
Tous les droits disponibles sont rsums dans l'annexe Droits.
Rubriques associes
Pour affecter des utilisateurs ou groupes principaux une liste de contrle d'accs d'un objet
6.2.4 Dfinition des droits sur un dossier de niveau suprieur dans la plateforme
de BI
En rgle gnrale, vous suivez ce workflow pour dfinir des droits sur un dossier de niveau suprieur
dans la plateforme de BI.
2012-05-10 133
Dfinition des droits
Remarque :
Pour cette version, les utilisateurs et groupes principaux ont besoin de droits Visualiser pour pouvoir
naviguer dans ce dossier et afficher ses sous-objets. Cela signifie qu'ils ont besoin de droits Visualiser
sur le dossier de niveau suprieur pour visualiser les objets contenus dans les dossiers. Si vous
souhaitez limiter les droits Visualiser d'un utilisateur ou groupe principal, vous pouvez lui accorder les
droits Visualiser sur un dossier spcifique et dfinir le primtre des droits appliquer ce seul dossier.
1. Accdez la zone de la CMC o se trouve le dossier de niveau suprieur pour lequel dfinir des
droits.
2. Cliquez sur Grer > Scurit de niveau suprieur > Tous les Objets.
Objets dsigne ici le contenu du dossier de niveau suprieur. Si vous devez confirmer, cliquez sur
OK.
La bote de dialogue "Scurit de l'utilisateur" apparat et affiche la liste de contrle d'accs du
dossier de niveau suprieur.
3. Affectez l'utilisateur ou groupe principal la liste de contrle d'accs du dossier de niveau suprieur.
4. Si ncessaire, affectez des droits avancs l'utilisateur ou groupe principal.
Rubriques associes
Pour affecter des utilisateurs ou groupes principaux une liste de contrle d'accs d'un objet
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
6.2.5 Vrification des paramtres de scurit pour un utilisateur ou un groupe
principal
Dans certains cas, vous pouvez avoir besoin de savoir quels sont les objets auxquels un utilisateur ou
groupe principal s'est vu accorder ou refuser l'accs. Pour ce faire, vous pouvez utiliser une requte
de scurit. Les requtes de scurit permettent de dterminer les objets sur lesquels un utilisateur
ou groupe principal possde des droits et de grer les droits utilisateur. Pour chaque requte de scurit,
vous devez fournir les informations suivantes :
Requte d'utilisateur/groupe principal
Spcifiez l'utilisateur ou le groupe pour lequel vous souhaitez excuter la requte de scurit. Vous
pouvez spcifier un utilisateur ou groupe principal pour chaque requte de scurit.
Requte d'autorisation
Spcifiez les droits pour lesquels vous souhaitez excuter la requte de scurit, le statut de ces
droits et le type d'objet sur lequel ces droits sont dfinis. Vous pouvez, par exemple, excuter une
requte de scurit pour tous les rapports qu'un utilisateur ou groupe principal peut actualiser ou
pour tous les rapports qu'un utilisateur ou groupe principal ne peut pas exporter.
Contexte de la requte
2012-05-10 134
Dfinition des droits
Spcifiez les zones de la CMC que vous souhaitez faire rechercher par la requte de scurit. Pour
chaque zone, vous pouvez choisir d'inclure ou non des sous-objets dans la requte de scurit.
Une requte de scurit peut inclure au maximum quatre zones.
Lorsque vous excutez une requte de scurit, les rsultats s'affichent dans la zone "Rsultats de
requte" du volet Arborescence sous Requtes de scurit. Si vous souhaitez affiner une requte de
scurit, vous pouvez excuter une seconde requte l'intrieur des rsultats partir de la premire
requte.
Les requtes de scurit sont utiles car elles vous permettent de voir les objets sur lesquels un utilisateur
ou groupe principal possde des droits, et elles fournissent galement les emplacements de ces objets
si vous souhaitez modifier ces droits. Imaginez une situation dans laquelle un employ commercial est
promu au rang de directeur commercial. Le directeur commercial requiert des droits Planifier pour les
rapports Crystal sur lesquels il ne possdait auparavant que les droits Visualiser, et ces rapports se
trouvent dans des dossiers diffrents. Dans ce cas, l'administrateur excute une requte de scurit
pour que les droits du directeur commercial lui permettent de visualiser les rapports Crystal dans tous
les dossiers et inclut les sous-objets dans la requte. Une fois la requte de scurit excute,
l'administrateur peut voir tous les rapports Crystal pour lesquels le directeur commercial possde des
droits Visualiser dans la zone "Rsultats de requte". Le volet Dtails affichant l'emplacement de
chaque rapport Crystal, l'administrateur peut rechercher chaque rapport et modifier les droits du directeur
commercial sur ces rapports.
6.2.5.1 Pour excuter une requte de scurit
1. Dans la zone "Utilisateurs et groupes", dans le volet Dtails, slectionnez l'utilisateur ou le groupe
pour lequel vous voulez excuter une requte de scurit.
2. Cliquez sur Grer > Outils > Crer une requte de scurit.
2012-05-10 135
Dfinition des droits
La bote de dialogue "Crer une requte de scurit" s'affiche.
3. Assurez-vous que l'utilisateur ou groupe principal dans la zone Requte d'utilisateur/groupe
principal est correct.
Si vous souhaitez excuter une requte de scurit pour un utilisateur ou groupe principal diffrent,
vous pouvez cliquer sur Parcourir pour en slectionner un autre. Dans la bote de dialogue
"Rechercher la requte d'utilisateur/groupe principal", dveloppez la Liste des utilisateurs ou la
Liste des groupes pour accder l'utilisateur ou au groupe principal ou le rechercher l'aide de
son nom. Lorsque vous avez termin, cliquez sur OK pour revenir la bote de dialogue "Crer une
requte de scurit".
4. Dans la zone "Requte d'autorisation", spcifiez les droits et le statut de chaque droit pour lequel
vous souhaitez excuter la requte.
Si vous souhaitez excuter une requte pour des droits spcifiques dont dispose un
utilisateur/groupe principal sur des objets, cliquez sur Parcourir, dfinissez le statut de chaque
droit pour lequel excuter la requte de scurit, puis cliquez sur OK.
Conseil :
Vous pouvez supprimer des droits spcifiques de la requte en cliquant sur le bouton Supprimer
figurant droite ou supprimer tous les droits de la requte en cliquant sur le bouton Supprimer
figurant dans la ligne d'en-tte.
Si vous souhaitez excuter une requte de scurit gnrale, activez la case cocher Ne pas
formuler de requtes d'autorisation.
Lorsque vous procdez de la sorte, la plateforme de BI excute une requte de scurit gnrale
pour tous les objets dans les listes de contrle d'accs o figure l'utilisateur ou groupe principal,
quelles que soient les autorisations dont dispose cet utilisateur ou groupe principal sur ces objets.
2012-05-10 136
Dfinition des droits
5. Dans la zone "Contexte de la requte", spcifiez les zones de la CMC interroger.
a. Activez une case cocher en regard d'une liste.
b. Dans la liste, slectionnez une zone de la CMC interroger.
Si vous souhaitez interroger un emplacement plus spcifique (par exemple, un dossier particulier
sous Dossiers), cliquez sur Parcourir pour ouvrir la bote de dialogue "Rechercher le contexte
de la requte". Dans le volet Dtails, slectionnez le dossier interroger, puis cliquez sur OK.
Lorsque vous revenez la bote de dialogue Requte de scurit, le dossier que vous avez
spcifi apparat dans la zone situe sous la liste.
c. Slectionnez Sous-objet de requte.
d. Rptez les tapes ci-dessus pour chaque zone de la CMC que vous souhaitez interroger.
Remarque :
Vous pouvez interroger jusqu' quatre zones.
6. Cliquez sur OK.
La requte de scurit s'excute et la zone "Rsultats de requte" apparat.
7. Pour visualiser les rsultats de la requte, dans le volet Arborescence, dveloppez Requtes de
scurit, puis cliquez sur un rsultat de requte.
Conseil :
Les rsultats de requte sont rpertoris par nom d'utilisateur ou groupe principal.
Ces rsultats sont affichs dans le volet Dtails.
La zone "Rsultats de requte" contient tous les rsultats des requtes de scurit formules au cours
d'une session utilisateur jusqu' ce que cet utilisateur se dconnecte. Si vous souhaitez rexcuter la
requte avec de nouvelles spcifications, cliquez sur Actions > Modifier la requte. Vous pouvez
galement rexcuter la mme requte en la slectionnant, puis en cliquant sur Actions > Rexcuter
la requte. Si vous souhaitez conserver les rsultats de la requte de scurit, cliquez sur Actions >
Exporter afin d'exporter les rsultats de la requte de scurit sous la forme d'un fichier CSV.
6.3 Utilisation des niveaux d'accs
Vous pouvez effectuer les tches suivantes avec les niveaux d'accs :
Copier un niveau d'accs existant, apporter des modifications au niveau d'accs copi, le renommer
et l'enregistrer en tant que nouveau niveau d'accs.
Crer, renommer et supprimer des niveaux d'accs.
Modifier les droits d'un niveau d'accs.
Suivre la relation entre les niveaux d'accs et d'autres objets dans le systme.
Rpliquer et grer les niveaux d'accs sur diffrents sites.
2012-05-10 137
Dfinition des droits
Utiliser l'un des niveaux d'accs prdfinis dans la plateforme de BI pour dfinir des droits rapidement
et uniformment pour de nombreux utilisateurs ou groupes principaux.
Le tableau suivant rcapitule les droits contenus dans chaque niveau d'accs prdfini.
Tableau 6-2 : Niveaux d'accs prdfinis
Droits impliqus Description Niveau d'accs
Visualiser les objets
Afficher les instances du do-
cument
Si ce niveau d'accs est dfini
au niveau d'un dossier, un utili-
sateur ou groupe principal peut
visualiser le dossier, les objets
qu'il contient et les instances
gnres de chaque objet. S'il
est dfini au niveau d'un objet,
un utilisateur ou groupe principal
peut visualiser l'objet, son histo-
rique et ses instances gnres.
Visualiser
Droits du niveau d'accs Visua
liser, plus :
Planifier l'excution du docu-
ment
Dfinir les groupes de ser-
veurs pour traiter les tches
Copier les objets dans un
autre dossier
Planifier vers des destinatio-
ns
Imprimer les donnes du
rapport
Exporter les donnes du
rapport
Modifier les objets appartena-
nt l'utilisateur
Supprimer les instances ap-
partenant l'utilisateur
Suspendre et reprendre les
instances de document ap-
partenant l'utilisateur
Un utilisateur ou groupe princi-
pal peut gnrer des instances
en planifiant l'excution d'un
objet avec une source de don-
nes dfinie une seule fois ou
de manire rcurrente. L'utilisa-
teur ou le groupe principal peut
visualiser, supprimer et suspe-
ndre la planification des insta-
nces qui lui appartiennent. Il
peut galement planifier l'excu-
tion vers d'autres formats et de-
stinations, dfinir des para-
mtres et des informations de
connexion la base de don-
nes, choisir les serveurs qui
traiteront les travaux, ajouter du
contenu au dossier et copier
l'objet ou le dossier.
Planifier
Droits du niveau d'accs Plani
fier, plus :
Actualiser les donnes du
rapport
Un utilisateur ou groupe princi-
pal peut actualiser les donnes
la demande par rapport une
source de donnes.
Visualiser la demande
2012-05-10 138
Dfinition des droits
Droits impliqus Description Niveau d'accs
Tous les droits disponibles, no-
tamment :
Ajouter les objets au dossier
Modifier les objets
Modifier les droits des utilisa-
teurs sur les objets
Supprimer les objets
Supprimer les instances
Un utilisateur ou groupe princi-
pal a le contrle administratif
total de l'objet.
Contrle total
Le tableau suivant rcapitule les droits requis pour effectuer certaines tches sur des niveaux d'accs.
2012-05-10 139
Dfinition des droits
Droits requis Tche de niveau d'accs
Droit Ajouter sur le dossier racine des niveaux
d'accs
Cration d'un niveau d'accs
Droit Visualiser sur le niveau d'accs
Visualisation de droits granulaires dans un
niveau d'accs
Droit Visualiser sur le niveau d'accs
Droit Utiliser le niveau d'accs pour affecter la
scurit sur le niveau d'accs
Droit Modifier les droits sur l'objet ou droit Modifier
les droits en toute scurit sur l'objet et l'utilisateur
ou groupe principal.
Remarque :
Les utilisateurs disposant du droit Modifier les droits
en toute scurit souhaitant affecter un niveau d'accs
un utilisateur ou groupe principal doivent disposer du
mme niveau d'accs.
Attribution d'un niveau d'accs un utilisateur
ou groupe principal sur un objet
Droits Visualiser et Modifier sur le niveau d'accs
Modification d'un niveau d'accs
Droits Visualiser et Supprimer sur le niveau d'accs
Suppression d'un niveau d'accs
Droit Visualiser sur le niveau d'accs
Droit Copier sur le niveau d'accs
Droit Ajouter sur le dossier racine des niveaux
d'accs
Clonage d'un niveau d'accs
6.3.1 Choisir entre les niveaux d'accs Visualiser et Visualiser la demande
Le choix entre des donnes relles ou enregistres constitue l'une des dcisions les plus importantes
prendre en matire de gestion de rapports sur le Web. Quel que soit le choix effectu, la plateforme
de BI affiche la premire page aussi rapidement que possible, de faon ce que vous puissiez visualiser
votre rapport tandis que le reste des donnes est trait. Cette section explique la diffrence entre deux
niveaux d'accs prdfinis que vous pouvez utiliser pour prendre votre dcision.
Niveau d'accs Visualiser la demande
Le reporting la demande permet aux utilisateurs d'accder en temps rel aux donnes stockes sur
le serveur de base de donnes. Les donnes relles permettent aux utilisateurs d'accder aux toutes
dernires informations la seconde prs. Par exemple, si les responsables d'un centre de distribution
de taille importante doivent connatre la situation de leur stock de faon continue, le reporting partir
2012-05-10 140
Dfinition des droits
des donnes relles est la meilleure faon de procder pour leur procurer les informations dont ils ont
besoin.
Toutefois, avant de fournir des donnes relles pour tous les rapports, vous devez dcider s'il est
souhaitable que tous les utilisateurs sollicitent sans arrt le serveur de base de donnes. Si les donnes
ne sont pas appeles changer constamment, toutes ces requtes envoyes la base de donnes
n'auront pour effet que d'accrotre le trafic sur le rseau et de monopoliser les ressources du serveur.
Dans ce cas, il est souvent prfrable de planifier les rapports intervalles rguliers afin que les
utilisateurs puissent toujours visualiser des donnes rcentes (dans des instances de rapport) sans
solliciter le serveur de base de donnes.
Les utilisateurs doivent disposer d'un accs de type Visualiser la demande pour pouvoir actualiser
les rapports par rapport aux informations de la base de donnes.
Niveau d'accs Visualiser
Pour rduire le trafic rseau et le nombre d'accs aux serveurs de base de donnes, vous pouvez
planifier l'excution des rapports des heures spcifies. Une fois le rapport excut, les utilisateurs
peuvent afficher l'instance du rapport selon leurs besoins, sans effectuer d'accs supplmentaires
la base de donnes.
Les instances de rapport permettent de traiter les donnes qui ne sont pas souvent mises jour. Lorsque
les utilisateurs parcourent des instances de rapport et explorent en avant les informations dtailles
des colonnes ou des diagrammes, ils n'accdent pas directement au serveur de base de donnes,
mais aux donnes enregistres. Par consquent, les rapports contenant des donnes enregistres
permettent non seulement de rduire le transfert de donnes sur le rseau, mais aussi d'allger la
charge de travail du serveur de base de donnes.
Par exemple, si votre base de donnes des ventes est mise jour quotidiennement, vous pouvez
excuter le rapport selon une planification similaire. Vos reprsentants commerciaux ont ainsi toujours
accs aux donnes les plus jour, mais ne sollicitent pas systmatiquement la base de donnes chaque
fois qu'ils ouvrent un rapport.
Pour pouvoir afficher les instances de rapport, les utilisateurs ont uniquement besoin d'un accs de
type Visualiser.
6.3.2 Pour copier un niveau d'accs existant
Voici le meilleur moyen de crer un niveau d'accs qui diffre peu de l'un des niveaux d'accs existants.
1. Accdez la zone "Niveaux d'accs".
2. Dans le volet Dtails, slectionnez un niveau d'accs.
Conseil :
Slectionnez un niveau d'accs contenant des droits similaires ceux que vous souhaitez attribuez
votre niveau d'accs.
3. Cliquez sur Organiser > Copier.
Une copie du niveau d'accs slectionn apparat dans le volet Dtails.
2012-05-10 141
Dfinition des droits
6.3.3 Pour crer un niveau d'accs
Voici le meilleur moyen de crer un niveau d'accs trs diffrent des niveaux d'accs existants.
1. Accdez la zone "Niveaux d'accs".
2. Cliquez sur Grer > Nouveau > Crer un niveau d'accs.
La bote de dialogue"Crer un niveau d'accs" s'affiche.
3. Saisissez le titre et la description de votre nouveau niveau d'accs, puis cliquez sur OK.
Vous revenez la zone "Niveaux d'accs" et le nouveau niveau d'accs apparat dans le volet Dtails.
6.3.4 Pour renommer un niveau d'accs
1. Dans la zone "Niveaux d'accs" du volet Dtails, slectionnez le niveau d'accs que vous souhaitez
renommer.
2. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" s'affiche.
3. Dans le champ Titre, saisissez le nom du niveau d'accs, puis cliquez sur Enregistrer et fermer.
Vous revenez la zone "Niveaux d'accs".
6.3.5 Pour supprimer un niveau d'accs
1. Dans la zone "Niveaux d'accs", dans le voletDtails, slectionnez le niveau d'accs supprimer.
2. Cliquez sur Grer > Supprimer un niveau d'accs.
Remarque :
Vous ne pouvez pas supprimer de niveaux d'accs prdfinis.
Une bote de dialogue contenant des informations sur les objets auxquels ce niveau d'accs s'applique
s'affiche. Si vous ne souhaitez pas supprimer ce niveau d'accs, cliquez sur Annuler pour fermer
la bote de dialogue.
3. Cliquez sur Supprimer.
Le niveau d'accs est supprim et vous revenez la zone "Niveaux d'accs".
2012-05-10 142
Dfinition des droits
6.3.6 Pour modifier les droits d'un niveau d'accs
Pour dfinir les droits d'un niveau d'accs, vous devez d'abord dfinir les droits globaux gnraux qui
s'appliquent tous les objets quels que soient leur type, puis spcifier dans quels cas remplacer les
paramtres gnraux en fonction du type spcifique de l'objet.
1. Dans la zone Niveaux d'accs, dans le volet Dtails, slectionnez le niveau d'accs pour lequel
vous souhaitez modifier les droits d'accs.
2. Cliquez sur Actions > Droits inclus.
La bote de dialogue Droits inclus apparat et affiche la liste des droits effectifs.
3. Cliquez sur Ajouter/Supprimer des droits.
La bote de dialogue Droits inclus affiche les ensembles de droits du niveau d'accs figurant dans
la liste de navigation. La section Droits globaux gnraux est dveloppe par dfaut.
4. Dfinissez les droits globaux gnraux.
Chaque droit peut avoir le statut Accord, Refus ou Non spcifi. Vous pouvez galement
spcifier si ce droit doit tre appliqu l'objet uniquement, ses sous-objets uniquement, ou aux
deux.
5. Pour dfinir des droits en fonction du type pour le niveau d'accs, cliquez sur l'ensemble de droits
dans la liste de navigation, puis cliquez sur le sous-ensemble qui s'applique au type d'objet dont
vous voulez dfinir les droits.
6. Une fois l'opration termine, cliquez sur OK.
Vous revenez alors la liste des droits effectifs.
2012-05-10 143
Dfinition des droits
Rubriques associes
Gestion des paramtres de scurit des objets dans la CMC
Droits spcifiques au type
6.3.7 Suivi de la relation entre niveaux d'accs et objets
Avant de modifier ou de supprimer un niveau d'accs, il est important de confirmer que toute modification
apporte au niveau d'accs n'affectera pas de faon ngative les objets de la CMC. Pour ce faire,
excutez une requte de relation sur le niveau d'accs.
Les requtes de relation s'avrent utiles pour la gestion des droits d'accs, tant donn qu'elles vous
permettent de voir les objets affects par un niveau d'accs depuis un emplacement pratique. Imaginez
une situation dans laquelle une socit restructure son organisation et fusionne deux services, le
service A et le service B, dans un service C. L'administrateur dcide de supprimer les niveaux d'accs
pour les services A et B car ces services n'existent plus. L'administrateur excute des requtes de
relation pour les deux niveaux d'accs avant de les supprimer. Dans la zone "Rsultats de requte",
l'administrateur peut voir les objets qui seront affects si l'administrateur supprime les niveaux d'accs.
Le volet Dtails indique galement l'administrateur l'emplacement des objets dans la CMC si les
droits appliqus ces objets doivent tre modifis avant que les niveaux d'accs ne soient supprims.
Remarque :
Pour visualiser la liste des objets affects, vous devez possder les droits Visualiser sur ces objets.
Les rsultats d'une requte de relation pour un niveau d'accs renvoient uniquement les objets pour
lesquels le niveau d'accs est explicitement affect. Si un objet utilise un niveau d'accs en raison
de rgles d'hritage, il ne figure pas dans les rsultats de la requte.
6.3.8 Gestion des niveaux d'accs sur diffrents sites
Les niveaux d'accs sont l'un des objets que vous pouvez rpliquer depuis un site d'origine vers des
sites de destination. Vous pouvez choisir de rpliquer des niveaux d'accs s'ils apparaissent dans la
liste de contrle d'accs d'un objet de rplication. Par exemple, si un utilisateur ou un groupe principal
reoit un niveau d'accs A sur un rapport Crystal et que ce rapport est rpliqu sur d'autres sites, le
niveau d'accs A est galement rpliqu.
Remarque :
S'il existe un niveau d'accs du mme nom sur le site de destination, la rplication du niveau d'accs
choue. L'administrateur du site de destination ou vous-mme devez renommer un des niveaux d'accs
avant la rplication.
Aprs la rplication d'un niveaux d'accs sur diffrents sites, gardez en mmoire les remarques de
cette section relatives l'administration.
2012-05-10 144
Dfinition des droits
Modification des niveaux d'accs rpliqus sur le site d'origine
Si un niveau d'accs rpliqu est modifi sur le site d'origine, le niveau d'accs sur le site de destination
sera mis jour lors de la prochaine excution planifie de la rplication. Dans les scnarios de rplication
bidirectionnelle, si vous modifiez un niveau d'accs rpliqu sur le site de destination, le niveau d'accs
sur le site d'origine est galement modifi.
Remarque :
Assurez-vous que les modifications d'un niveau d'accs sur un site n'affectent pas ngativement des
objets sur d'autres sites. Contactez les administrateurs du site et conseillez-leur d'excuter des requtes
de relation pour le niveau d'accs rpliqu avant que vous n'apportiez des modifications.
Modification des niveaux d'accs rpliqus sur le site de destination
Remarque :
Cela s'applique la rplication unidirectionnelle uniquement.
Toute modification apporte aux niveaux d'accs rpliqus sur un site de destination n'est pas applique
sur le site d'origine. Par exemple, un administrateur de site de destination peut accorder le droit de
planifier les rapports Crystal appartenant au niveau d'accs rpliqu mme si ce droit a t refus sur
le site d'origine. Par consquent, mme si les noms des niveaux d'accs et les noms des objets rpliqus
sont identiques, les droits effectifs dont les utilisateurs ou groupes principaux disposent sur les objets
peuvent diffrer d'un site de destination l'autre.
Si le niveau d'accs rpliqu diffre entre les sites d'origine et de destination, la diffrence de droits
effectifs sera dtecte lors de la prochaine excution planifie d'un travail de rplication. Vous pouvez
forcer le niveau d'accs du site d'origine remplacer le niveau d'accs du site de destination ou permettre
la conservation du niveau d'accs du site de destination. Toutefois, si vous ne forcez pas le niveau
d'accs du site d'origine remplacer le niveau d'accs du site de destination, tous les objets en attente
de rplication utilisant ce niveau d'accs ne pourront pas tre rpliqus.
Pour empcher les utilisateurs de modifier les niveaux d'accs rpliqus sur le site de destination, vous
pouvez ajouter les utilisateurs du site de destination au niveau d'accs en tant qu'utilisateurs principaux
et leur accorder uniquement le droit Visualiser. Ainsi, les utilisateurs du site de destination peuvent
visualiser le niveau d'accs, mais ne sont pas en mesure de modifier la configuration des droits ou de
l'affecter d'autres utilisateurs.
Rubriques associes
Fdration
Suivi de la relation entre niveaux d'accs et objets
6.4 Rupture de l'hritage
L'hritage permet de grer les paramtres de scurit sans dfinir de droits pour chaque objet.
Cependant, dans certains cas, vous ne voudrez peut-tre pas que les droits soient hrits. Par exemple,
vous souhaiterez peut-tre personnaliser les droits pour chaque objet. Vous pouvez dsactiver l'hritage
2012-05-10 145
Dfinition des droits
pour un utilisateur ou groupe principal dans une liste de contrle d'accs d'un objet. Dans ce cas, vous
pouvez choisir de dsactiver l'hritage du groupe, l'hritage du dossier, ou les deux.
Remarque :
Lorsque l'hritage est rompu, il l'est pour tous les droits. Il n'est pas possible de dsactiver l'hritage
pour certains droits uniquement et pas pour d'autres.
Dans le diagramme Rupture de l'hritage, l'hritage de groupe et l'hritage de dossier sont tous deux
activs l'origine. L'utilisateur rouge hrite des droits 1 et 5 accords, des droits 2, 3 et 4 non spcifis
et du droit 6 explicitement refus. Ces droits, dfinis au niveau du dossier pour le groupe, signifient
que l'utilisateur rouge, ainsi que chaque autre membre du groupe, dispose de ces droits sur les objets
du dossier A et B. Si l'hritage est rompu au niveau du dossier, l'ensemble de droits dont l'utilisateur
rouge dispose sur les objets de ce dossier est annul jusqu' ce qu'un administrateur lui affecte de
nouveaux droits.
Figure 6-9 : Rupture de l'hritage
6.4.1 Dsactiver l'hritage
Cette procdure vous permet de dsactiver l'hritage de groupe ou de dossier, ou les deux, pour un
utilisateur ou un groupe principal sur la liste de contrle d'accs d'un objet.
2012-05-10 146
Dfinition des droits
1. Slectionnez l'objet pour lequel vous souhaitez dsactiver l'hritage.
2. Cliquez sur Grer > Scurit de l'utilisateur.
La bote de dialogue "Scurit de l'utilisateur" s'affiche.
3. Slectionnez l'utilisateur ou le groupe principal pour lequel vous souhaitez dsactiver l'hritage, puis
cliquez sur Affecter la scurit.
La bote de dialogue "Affecter la scurit" s'affiche.
4. Configurez vos paramtres d'hritage.
Si vous souhaitez dsactiver l'hritage de groupe (droits dont l'utilisateur ou le groupe principal
hrite de son appartenance au groupe), dsactivez la case cocher Hriter du groupe parent.
Si vous souhaitez dsactiver l'hritage de dossier (paramtres de droits dont l'objet hrite du
dossier), dsactivez la case cocher Hriter du dossier parent.
5. Cliquez sur OK.
6.5 Utilisation des droits pour dlguer l'administration
Les droits vous permettent non seulement de contrler l'accs aux objets et aux paramtres, mais
galement de rpartir les tches administratives entre les divers groupes fonctionnels de votre
organisation. Par exemple, vous pouvez souhaiter que les personnes de diffrents services grent
leurs propres utilisateurs et groupes. Vous pouvez galement tre dans la situation o un administrateur
assure la gestion de haut niveau de la plateforme de BI mais o vous souhaitez que la totalit de la
gestion des serveurs soit assure par le personnel du service informatique.
En supposant que votre structure de groupe et votre structure de dossier s'alignent sur votre structure
de scurit de l'administration dlgue, vous devez accorder votre administrateur dlgu des droits
sur l'intgralit des groupes d'utilisateurs, mais vous devez lui accorder des droits infrieurs aux droits
de contrle total sur les utilisateurs qu'il contrle. Par exemple, vous ne voudrez peut-tre pas que
l'administrateur dlgu modifie les attributs des utilisateurs ou qu'il les raffecte des groupes diffrents.
Le tableau Droits des administrateurs dlgus rcapitule les droits requis pour que les administrateurs
dlgus effectuent les actions courantes.
Tableau 6-3 : Droits des administrateurs dlgus
Droits requis par l'administrateur dlgu Action de l'administrateur dlgu
Droit Ajouter sur le dossier Utilisateurs de ni-
veau suprieur
Crer des utilisateurs
Droit Ajouter sur le dossier Groupes d'utilisa-
teurs de niveau suprieur
Crer des groupes
2012-05-10 147
Dfinition des droits
Droits requis par l'administrateur dlgu Action de l'administrateur dlgu
Droit Supprimer sur les groupes concerns
Supprimer les groupes contrls, ainsi que les
utilisateurs individuels appartenant ces groupes
Droit Supprimer par le propritaire sur le dos-
sier Utilisateurs de niveau suprieur
Supprimer uniquement les utilisateurs crs par
l'administrateur dlgu
Droit Supprimer par le propritaire sur le dos-
sier Groupes d'utilisateurs de niveau suprieur
Supprimer uniquement les utilisateurs et les
groupes crs par l'administrateur dlgu
Droits Modifier par le propritaire et Modifier
en toute scurit les droits par le propritaire
sur le dossier Utilisateurs de niveau suprieur
Manipuler uniquement les utilisateurs crs par
l'administrateur dlgu (y compris l'ajout de ces
utilisateurs ces groupes)
Droits Modifier par le propritaire et Modifier
en toute scurit les droits par le propritaire
sur le dossier Groupes d'utilisateurs
Manipuler uniquement les groupes crs par
l'administrateur dlgu (y compris l'ajout de ces
utilisateurs ces groupes)
Droit Modifier le mot de passe sur les groupes
concerns
Modifier les mots de passe des utilisateurs dans
leurs groupes contrls
Droit Modifier le mot de passe par le propri-
taire sur le dossier Utilisateurs de niveau sup-
rieur ou sur les groupes concerns
Remarque :
La dfinition du droit Modifier le mot de passe
par le propritaire sur un groupe ne prend effet
sur un utilisateur que lorsque vous ajoutez l'utili-
sateur au groupe concern.
Modifier les mots de passe des utilisateurs ou
groupes principaux crs par l'administrateur
dlgu uniquement
Droit Modifier sur les groupes concerns
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et raffecter les utilisateurs
d'autres groupes
2012-05-10 148
Dfinition des droits
Droits requis par l'administrateur dlgu Action de l'administrateur dlgu
Droit Modifier le mot de passe par le propri-
taire sur le dossier Utilisateurs de niveau sup-
rieur ou sur les groupes concerns
Remarque :
La dfinition du droit Modifier par le propritaire
sur les groupes concerns ne prend effet sur un
utilisateur que lorsque vous ajoutez l'utilisateur
au groupe concern.
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et raffecter les utilisateurs
d'autres groupes, mais uniquement pour les
utilisateurs crs par l'administrateur dlgu
6.5.1 Choisir entre les options Modifier les droits des utilisateurs sur les objets
Lorsque vous configurez l'administration dlgue, accordez votre administrateur dlgu des droits
sur les utilisateurs ou groupes principaux qu'il va contrler. Vous souhaiterez peut-tre lui accorder
tous les droits (Contrle total) ; cependant, il est conseill d'utiliser les paramtres Droits avancs
pour refuser le droit Modifier les droits et accorder la place votre administrateur dlgu le droit
Modifier en toute scurit les droits. Vous pouvez galement accorder votre administrateur le droit
Modifier en toute scurit les rgles d'hritage des droits au lieu du droit Modifier les rgles
d'hritage des droits. Les diffrences entre ces droits sont rcapitules ci-aprs.
Modifier les droits des utilisateurs sur les objets
Ce droit autorise un utilisateur modifier tout droit de tout utilisateur sur cet objet. Par exemple, si
l'utilisateur A dispose des droits Visualiser les objets et Modifier les droits des utilisateurs sur les
objets sur un objet, il peut modifier les droits pour cet objet afin que lui-mme ou tout autre utilisateur
dtienne le contrle total de cet objet.
Modifier en toute scurit les droits des utilisateurs sur les objets
Ce droit permet un utilisateur d'accorder, de refuser ou d'annuler uniquement les droits qui lui sont
dj accords. Par exemple, si l'utilisateur A dispose des droits Visualiser et Modifier en toute scurit
les droits des utilisateurs sur les objets, il ne peut pas s'accorder de droits supplmentaires et peut
uniquement accorder ou refuser aux autres utilisateurs ces deux droits (Visualiser et Modifier en toute
scurit les droits des utilisateurs sur les objets). De plus, l'utilisateur A peut uniquement modifier
les droits des utilisateurs sur les objets pour lesquels il dispose lui-mme du droit de modification des
droits en toute scurit.
Les conditions dans lesquelles un utilisateur A peut modifier les droits de l'utilisateur B sur l'objet O
sont les suivantes :
L'utilisateur A dispose du droit de modification des droits en toute scurit sur l'objet O.
2012-05-10 149
Dfinition des droits
Chaque droit ou niveau d'accs que l'utilisateur A modifie pour l'utilisateur B est accord l'utilisateur
A lui-mme.
L'utilisateur A dispose du droit de modification des droits en toute scurit sur l'utilisateur B.
Si un niveau d'accs est en cours d'affectation, l'utilisateur A dispose du droit Affecter un niveau
d'accs sur le niveau d'accs qui est modifi pour l'utilisateur B.
Le primtre des droits peut limiter davantage les droits effectifs qu'un administrateur dlgu peut
affecter. Par exemple, un administrateur dlgu peut disposer de droits Modifier en toute scurit
et Modifier sur un dossier, mais le primtre de ces droits est limit au dossier uniquement et ne
s'applique pas ses sous-objets. En ralit, l'administrateur dlgu peut accorder uniquement le droit
Modifier sur le dossier (mais non sur ses sous-objets) et seulement avec un primtre Appliquer
l'objet. Si l'administrateur dlgu dispose du droit Modifier sur un dossier avec un primtre Appliquer
au sous-objet uniquement, il peut accorder d'autres utilisateurs ou groupes principaux le droit Modifier
avec les deux primtres sur les sous-objets du dossier, mais sur le dossier lui-mme, il ne peut accorder
que le droit Modifier avec un primtre Appliquer au sous-objet.
En outre, la modification des droits sur les groupes par l'administrateur dlgu sera limite pour les
autres utilisateurs ou groupes principaux auxquels aucun droit Modifier en toute scurit n'est appliqu.
Cela est utile, par exemple, lorsque deux administrateurs dlgus sont responsables de l'affectation
des droits diffrents groupes d'utilisateurs pour le mme dossier, mais que vous ne voulez pas que
l'un d'eux puisse refuser l'accs aux groupes contrls par l'autre administrateur dlgu. Le droit
Modifier en toute scurit les droits garantit cela, tant donn que les administrateurs dlgus n'auront
gnralement pas le droit Modifier en toute scurit les droits l'un sur l'autre.
Modifier en toute scurit les rgles d'hritage des droits
Ce droit permet un administrateur dlgu de modifier les rgles d'hritage d'autres utilisateurs ou
groupes principaux sur les objets auxquels il peut accder. Pour pouvoir modifier les rgles d'hritage
d'autres utilisateurs ou groupes principaux, un administrateur dlgu doit disposer de ce droit sur
l'objet et sur les comptes utilisateur des utilisateurs ou groupes principaux.
6.5.2 Droits de propritaire
Les droits de propritaire sont les droits qui s'appliquent uniquement au propritaire de l'objet pour
lequel les droits sont vrifis. Sur la plateforme de BI, le propritaire d'un objet est l'utilisateur ou le
groupe principal qui a cr l'objet. Si cet utilisateur ou groupe principal est supprim du systme, la
proprit de l'objet revient l'administrateur.
Les droits de propritaire permettent de grer la scurit lie la proprit. Par exemple, vous
souhaiterez peut-tre crer une hirarchie de dossiers ou un dossier dans lequel divers utilisateurs
peuvent crer et visualiser des documents, mais uniquement modifier ou supprimer leurs propres
documents. En outre, les droits de propritaire sont utiles pour permettre aux utilisateurs de manipuler
les instances de rapports qu'ils crent, mais pas les instances des autres. Dans le cas du niveau d'accs
de planification, cela permet aux utilisateurs de modifier, supprimer, suspendre et replanifier uniquement
leurs propres instances.
2012-05-10 150
Dfinition des droits
Les droits de propritaire fonctionnent de la mme manire que les droits rguliers correspondants.
Toutefois, les droits de propritaire ne sont appliqus que lorsque l'utilisateur ou groupe d'utilisateurs
principal dispose des droits de propritaire mais que les droits rguliers lui sont refuss ou ne sont pas
spcifis.
6.6 Rcapitulatif des recommandations concernant l'administration des droits
Tenez compte des remarques suivantes relatives l'administration des droits :
Utilisez des niveaux d'accs partout o c'est possible. Ces ensembles de droits prdfinis simplifient
l'administration en regroupant les droits lis aux besoins courants des utilisateurs.
Dfinissez des droits et des niveaux d'accs sur les dossiers de niveau suprieur. L'activation de
l'hritage permet ces droits d'tre transmis tout le systme avec un minimum d'interventions
administratives.
Evitez de rompre l'hritage dans la mesure du possible. Vous pouvez ainsi rduire le temps
ncessaire pour scuriser le contenu que vous avez ajout la plateforme de BI.
Dfinissez des droits appropris pour les utilisateurs et les groupes au niveau du dossier, puis
publiez les objets dans ce dossier. Par dfaut, si des utilisateurs ou des groupes bnficient de
droits sur un dossier et que vous publiez un objet dans ce dossier, ils hriteront des mmes droits
sur cet objet.
Organisez les utilisateurs en groupes d'utilisateurs, affectez des droits et des niveaux d'accs tout
le groupe, puis affectez des droits et des niveaux d'accs des membres spcifiques si ncessaire.
Crez des comptes Administrateur distincts pour chaque administrateur du systme, puis ajoutez-les
au groupe Administrateurs afin d'amliorer la responsabilit des modifications apportes au systme.
Par dfaut, le groupe Tout le monde dispose de droits trs limits sur les dossiers de niveau suprieur
sur la plateforme de BI. Aprs l'installation, il est recommand de vrifier les droits des membres
du groupe Tout le monde et d'accorder les droits de scurit en fonction.
2012-05-10 151
Dfinition des droits
2012-05-10 152
Dfinition des droits
Scurisation de la plateforme de BI
7.1 Prsentation de la scurit
Cette section dcrit les diffrentes manires dont la plateforme de BI aborde les questions de scurit
de l'entreprise, fournissant ainsi aux administrateurs et aux architectes systme des rponses aux
questions qu'ils se posent le plus souvent ce sujet.
L'architecture de la plateforme de BI permet de traiter les nombreuses proccupations auxquelles se
trouvent aujourd'hui confrontes les entreprises et les organisations en termes de scurit. La version
actuelle prend en charge des fonctionnalits telles que la scurit distribue, la connexion unique, la
scurit d'accs aux ressources, les droits d'accs aux objets granulaires et les authentifications tierces
afin de se prmunir contre les accs non autoriss.
Sachant que la plateforme de BI offre la structure adapte un nombre croissant de composants de
la famille Enterprise des produits SAP BusinessObjects, cette section expose en dtail les fonctions
de scurit et leur fonctionnalit associe pour dmontrer comment la structure mme renforce et
garantit la scurit. Ce chapitre ne fournit pas de dtails de procdure explicites, mais se focalise plutt
sur des informations conceptuelles et fournit des liens vers des procdures cl.
Aprs une brve introduction aux concepts de scurit du systme, des renseignements sont fournis
pour les rubriques suivantes :
Utilisation du cryptage et des modes de scurit du traitement des donnes pour protger les
donnes.
Configuration SSL (Secure Sockets Layer) pour les dploiements de la plateforme de Business
Intelligence.
Instructions de configuration et de gestion des pare-feu pour la plateforme de Business Intelligence.
Configuration des serveurs proxy inverses
7.2 Planification de rcupration d'urgence
Certaines tapes doivent tre suivies pour protger la dtention de la plateforme de BI par votre
entreprise et assurer une continuit maximale des lignes de fonction professionnelles dans le cas d'une
urgence. Cette section fournit des instructions pour baucher un plan de rcupration d'urgence pour
votre entreprise.
2012-05-10 153
Scurisation de la plateforme de BI
Instructions gnrales
Effectuez des sauvegardes systme rgulires et envoyez des copies de certains supports de
sauvegarde hors site si besoin.
Stockez de manire sre tous les supports logiciels.
Stockez de manire sre toute la documentation de licence.
Instructions spcifiques
Il existe trois ressources systme requrant une attention particulire en termes de planification de
rcupration d'urgence :
Contenu des serveurs de rfrentiels de fichiers : cela comprend le contenu propritaire tel que les
rapports. Vous devez sauvegarder rgulirement ce contenu ; en cas d'accident, il n'existe aucun
moyen de rgnrer un tel contenu sans avoir mis en place un processus de sauvegarde rgulire.
La base de donnes systme utilise par le CMS : cette ressource contient toutes les mtadonnes
essentielles votre dploiement, telles que les informations utilisateur, les rapports et autres
informations sensibles propres votre entreprise.
Le fichier de cl des informations de base de donnes (fichier .dbinfo) : cette ressource contient la
cl matre de la base de donnes systme. Si, pour une raison quelconque, cette cl n'est pas
disponible, vous ne serez pas en mesure d'accder la base de donnes systme. Il est vivement
recommand de stocker le mot de passe pour cette ressource dans un emplacement sr et connu
aprs le dploiement de la plateforme de BI. Sans le mot de passe, vous ne serez pas en mesure
de rgnrer le fichier et vous perdrez par consquent l'accs la base de donnes systme.
7.3 Recommandations gnrales pour la scurit de votre dploiement
Les instructions suivantes concernent la scurisation de vos dploiements de la plateforme de BI.
Utilisez les pare-feu pour protger la communication entre le CMS et d'autres composants du
systme. Si possible, masquez toujours votre CMS derrire le pare-feu. Tout au moins, assurez-vous
que la base de donnes systme est scurise derrire le pare-feu.
Ajoutez un cryptage supplmentaire aux File Repository Servers. Une fois que fonctionne le systme,
le contenu propritaire est stock sur ces serveurs. Ajoutez un cryptage supplmentaire via le
systme d'exploitation ou utilisez un outil tiers.
Remarque :
La plateforme de BI ne prend pas en charge SFTP. Si vous avez besoin de la fonctionnalit SFTP,
consultez la note SAP 1556571 ou tudiez la solution d'un partenaire SAP.
Dployez les serveurs proxy inverses devant les serveurs d'applications Web afin de les masquer
derrire une adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet adress
aux serveurs d'applications Web privs via le serveur proxy inverse, masquant ainsi les adresses IP
prives.
Appliquez de manire stricte les stratgies de l'entreprise en matire de mots de passe . Assurez-vous
que les mots de passe des utilisateurs sont changs rgulirement.
2012-05-10 154
Scurisation de la plateforme de BI
Si vous avez choisi d'installer la base de donnes systme et le serveur d'applications Web fournis
avec la plateforme de BI, consultez la documentation correspondante et assurez-vous que ces
composants sont dploys avec les configurations de scurit adquates.
La plateforme a pour serveur d'applications Web par dfaut Apache Tomcat. Si vous avez l'intention
d'utiliser ce serveur, reportez-vous rgulirement au site Apache pour les mises jour de scurit.
Dans certains cas, il se peut que vous ayez mettre jour manuellement votre version de Tomcat
pour garantir que les derniers correctifs de scurit sont installs. Consultez les recommandations
de scurit Tomcat Apache pour excuter le serveur d'applications Web.
Utilisez le protocole SSL (Secure Sockets Layer) pour toutes les communications rseau tablies
entre clients et serveurs au sein de votre dploiement.
Assurez-vous que le rpertoire et les sous-rpertoires d'installation de la plateforme sont scuriss ;
des donnes temporaires de haute importance pourraient tre stockes dans ces rpertoires durant
le fonctionnement du systme.
L'accs la CMC (Central Management Console) doit tre limit l'accs local uniquement. Pour
en savoir plus sur les options de dploiement pour la CMC, voir le Guide de dploiement
d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
Rubriques associes
Configuration du protocole SSL
Restrictions relatives aux mots de passe
Configuration de la scurit pour les serveurs tiers fournis
7.4 Configuration de la scurit pour les serveurs tiers fournis
Si vous avez choisi d'installer des composants de serveur tiers qui sont fournis avec la plateforme de
BI, il est recommand d'accder la documentation concernant les composants fournis suivants et de
la consulter :
Microsoft SQL Server 2008 Express Edition : Pour des informations dtailles sur la protection de
cette base de donnes systme pour les plateformes Windows, voir http://msdn.microsoft.com/en-
us/library/bb283235%28v=sql.100%29.aspx.
IBM DB2 Workgroup Edition : Pour des informations dtailles sur la protection de cette base de
donnes systme pour les plateformes Unix, voir http://publib.boulder.ibm.com/infocen
ter/db2luw/v9r7/index.jsp?nav=/2_ .
Apache Tomcat 6.0 : Pour des informations dtailles sur la scurit de ce serveur d'applications
Web, voir http://tomcat.apache.org/tomcat-6.0-doc/index.html.
7.5 Relation de confiance active
2012-05-10 155
Scurisation de la plateforme de BI
Dans un environnement en rseau, une relation de confiance entre deux domaines est gnralement
une connexion qui permet un domaine de reconnatre prcisment les utilisateurs ayant t authentifis
par l'autre domaine. Tout en garantissant la scurit, la relation de confiance permet aux utilisateurs
d'accder aux ressources dans plusieurs domaines sans avoir fournir leurs rfrences de connexion
chaque fois.
Dans l'environnement de la plateforme de BI, la relation de confiance active fonctionne de manire
similaire pour fournir chaque utilisateur un accs ininterrompu aux ressources de la totalit du systme.
Une fois que l'utilisateur a t authentifi et qu'il s'est vu accorder une session active, tous les autres
composants de la plateforme de BI peuvent traiter les requtes et les actions de l'utilisateur sans
demander de rfrences de connexion. En tant que telle, la relation de confiance fournit la base de la
scurit distribue de la plateforme de BI.
7.5.1 Jetons de connexion
Un jeton de connexion est une chane code qui dfinit ses propres attributs d'utilisation et contient les
informations de session d'un utilisateur. Les attributs d'utilisation d'un jeton de connexion sont spcifis
lors de la gnration de ce dernier. Ces attributs permettent de placer des restrictions sur le jeton de
connexion afin de rduire le risque d'utilisation du jeton par des utilisateurs malveillants. Les attributs
d'utilisation actuels du jeton de connexion sont :
Le nombre de minutes
Cet attribut restreint la dure de vie du jeton de connexion.
Le nombre de connexions
Cet attribut restreint le nombre d'utilisations du jeton de connexion pour se connecter la plateforme
de BI.
Les deux attributs empchent les utilisateurs malveillants d'accder, sans autorisation, la plateforme
de BI avec des jetons de connexion extraits auprs d'utilisateurs lgitimes.
Remarque :
L'enregistrement d'un jeton de connexion dans un cookie peut reprsenter un risque potentiel pour la
scurit si le rseau entre le navigateur et le serveur Web ou d'applications n'est pas scuris ; par
exemple, si la connexion est effectue via un rseau public et n'utilise pas SSL ou l'authentification
scurise. Il est conseill d'utiliser SSL (Secure Sockets Layer) pour rduire les risques de scurit
entre le navigateur et le serveur Web ou d'applications.
Lorsque le cookie de connexion a t dsactiv et que le serveur Web ou le navigateur Web expire,
l'cran de connexion s'affiche. Lorsque le cookie est activ et que le serveur ou le navigateur expire,
l'utilisateur est reconnect automatiquement au systme. Toutefois, les informations d'tat tant lies
la session Web, l'tat de l'utilisateur est perdu. Par exemple, si l'utilisateur a dvelopp une
arborescence de navigation et slectionn un lment particulier, l'arborescence est rinitialise.
Sur la plateforme de BI, les jetons de connexion sont activs par dfaut sur le client Web, mais vous
pouvez les dsactiver pour la zone de lancement BI. Lorsque vous dsactivez les jetons de connexion
2012-05-10 156
Scurisation de la plateforme de BI
dans le client, la session utilisateur est limite par le dlai d'expiration du serveur Web ou du navigateur
Web. Lorsque cette session expire, l'utilisateur doit de nouveau se connecter la plateforme de BI.
7.5.2 Systme de ticket pour la scurit distribue
Les systmes d'entreprise ddis au service d'un grand nombre d'utilisateurs ncessitent gnralement
une certaine forme de scurit distribue. Un systme d'entreprise peut ncessiter une scurit distribue
pour prendre en charge des fonctions comme le transfert de confiance (la possibilit d'autoriser un
autre composant agir au nom de l'utilisateur).
La plateforme de BI aborde la question de la scurit distribue en mettant en uvre un systme de
ticket (rappelant le systme de ticket Kerberos). Le CMS accorde des tickets pour autoriser les
composants excuter des actions au nom d'un utilisateur particulier. Sur la plateforme de BI, le ticket
est appel jeton de connexion.
Ce jeton de connexion est le jeton le plus couramment utilis sur le Web. Lors de la premire
authentification des utilisateurs par la plateforme de BI, la CMC leur fournit des jetons de connexion.
Le navigateur Web de l'utilisateur met en cache ce jeton de connexion. Lorsque l'utilisateur effectue
une nouvelle requte, d'autres composants de la plateforme de BI peuvent lire le jeton de connexion
partir du navigateur Web de l'utilisateur.
7.6 Sessions et suivi de session
En gnral, une session est une connexion de type client-serveur qui permet deux ordinateurs
d'changer des informations. Le statut d'une session est constitu d'un ensemble de donnes qui
dcrivent les attributs de la session, sa configuration ou son contenu. Lorsque vous tablissez une
connexion client-serveur sur le Web, la nature du protocole HTTP limite la dure de chaque session
une seule page d'informations ; par consquent, votre navigateur Web conserve le statut de chaque
session en mmoire uniquement pendant la dure de l'affichage de cette page Web unique. Ds que
vous passez d'une page Web une autre, le statut de la premire session est remplac par le statut
de la session suivante. Par consquent, les sites et les applications Web doivent d'une manire ou
d'une autre stocker le statut d'une session s'ils doivent rutiliser leurs informations dans une autre
session.
La plateforme de BI utilise deux mthodes courantes pour stocker le statut d'une session :
Cookies : Un cookie est un petit fichier texte qui stocke le statut d'une session ct client : le
navigateur Web de l'utilisateur met en cache le cookie pour une utilisation ultrieure. Le jeton de
connexion de la plateforme de BI illustre cette mthode.
Variables de session : Une variable de session est un fragment de mmoire qui stocke le statut
d'une session ct serveur. Lorsque la plateforme de BI accorde l'utilisateur une identit active
sur le systme, les informations telles que le type d'authentification de l'utilisateur sont stockes
2012-05-10 157
Scurisation de la plateforme de BI
dans une variable de session. Tant que la session est maintenue, le systme ne doit ni inviter
l'utilisateur saisir les informations une deuxime fois, ni rpter une tche ncessaire l'excution
de la requte suivante.
Dans les dploiements Java, la session permet de prendre en charge les requtes .jsp ; dans les
dploiements .NET, la session permet de prendre en charge les requtes .aspx.
Remarque :
L'idal serait que le systme prserve la variable de session tant que l'utilisateur reste actif sur le
systme. En outre, pour garantir la scurit et minimiser l'utilisation des ressources, le systme devrait
dtruire la variable de session ds que l'utilisateur a termin de travailler sur le systme. Mais, tant
donn que l'interaction entre un navigateur Web et un serveur Web peut tre sans statut, il est parfois
difficile de savoir quel moment les utilisateurs quittent le systme, s'ils ne se dconnectent pas de
manire explicite. Pour rpondre ce problme, la plateforme de BI implmente le suivi de session.
7.6.1 Suivi de session du CMS
Le CMS implmente un algorithme de suivi simple. Lorsqu'un utilisateur se connecte, il reoit une
session du CMS, que le CMS conserve jusqu' ce qu'il se dconnecte, ou que la variable de session
du serveur d'applications Web soit publie.
La session du serveur d'applications Web est conue pour aviser le CMS priodiquement qu'elle est
toujours active, de manire conserver la session du CMS tant que la session du serveur d'applications
Web existe. Si la session du serveur d'applications Web ne parvient pas communiquer avec le CMS
pendant une dure de dix minutes, le CMS dtruit la session du CMS. Ceci prend en compte des
scnarios dans lesquels les composants ct client s'interrompent de manire irrgulire.
7.7 Protection de l'environnement
La protection de l'environnement fait rfrence la scurit de tout l'environnement dans lequel
communiquent les composants client et serveur. Mme si la popularit d'Internet et des systmes de
type Web ne cesse d'augmenter grce leur souplesse d'utilisation et la gamme de fonctionnalits
qu'ils offrent, ils fonctionnent nanmoins dans un environnement difficile scuriser. Lors du dploiement
de la plateforme de BI, la protection de l'environnement est divise en deux zones de communication :
du navigateur Web au serveur Web et du serveur Web la plateforme de BI.
7.7.1 Du navigateur Web au serveur Web
2012-05-10 158
Scurisation de la plateforme de BI
Lors du transfert de donnes entre le navigateur Web et le serveur Web, un certain degr de scurit
est gnralement requis. Les mesures de scurit qui s'imposent impliquent deux tches d'ordre
gnral :
S'assurer que la communication des donnes est scurise ;
S'assurer que seuls les utilisateurs autoriss rcuprent des informations sur le serveur Web.
Remarque :
Ces tches sont gnralement prises en charge par les serveurs Web grce divers systmes de
scurit, qu'il s'agisse du protocole SSL (Secure Sockets Layer) ou d'autres mcanismes similaires. Il
est conseill d'utiliser SSL (Secure Sockets Layer) pour rduire les risques de scurit entre le navigateur
et le serveur Web ou d'applications.
Vous devez scuriser la communication entre le navigateur Web et le serveur Web indpendamment
de la plateforme de BI. Pour plus d'informations sur la scurisation des connexions client, consultez la
documentation de votre serveur Web.
7.7.2 Serveur Web vers la plateforme de BI
Les pare-feu sont communment utiliss pour scuriser le domaine de communication entre le serveur
Web et le reste de l'intranet d'entreprise (y compris la plateforme de BI). La plateforme prend en charge
les pare-feu appliquant un filtrage des adresses IP ou une traduction des adresses rseau statiques
(NAT). Les environnements pris en charge peuvent impliquer plusieurs pare-feu, serveurs Web ou
serveurs d'applications.
7.8 Audit des modifications de la configuration de scurit
Les modifications apportes aux configurations de scurit par dfaut pour les lments suivants ne
seront pas audites par la plateforme de BI :
Fichiers de proprits pour les applications Web (BOE, services Web)
TrustedPrincipal.conf
Personnalisation ralise sur la zone de lancement BI et OpenDocument
En rgle gnrale, les modifications de configuration de scurit effectues en dehors de la CMC ne
sont pas audites. Cela s'applique aussi aux modifications effectues par le biais du Central Configuration
Manager (CCM). Les modifications valides par le biais de la CMC peuvent tre audites.
2012-05-10 159
Scurisation de la plateforme de BI
7.9 Audit de l'activit Web
La plateforme de BI vous permet de matriser votre systme en enregistrant l'activit Web et en vous
permettant d'en examiner les dtails et de les contrler. Le serveur d'applications Web permet de
slectionner les attributs Web tels que l'heure, la date, l'adresse IP, le numro de port, etc. enregistrer.
Les donnes d'audit sont consignes sur disque et stockes dans des fichiers texte spars par des
virgules, de manire pouvoir vous y reporter facilement ou les importer dans d'autres applications.
7.9.1 Protection contre les tentatives de connexion malveillantes
Mme si un systme est scuris, il existe souvent un emplacement vulnrable attaquer :
l'emplacement partir duquel les utilisateurs se connectent au systme. Il est quasiment impossible
de protger entirement cet emplacement, car le processus consistant deviner tout simplement un
nom d'utilisateur et un mot de passe valides reste une manire envisageable de "craquer" le systme.
La plateforme de BI met en uvre plusieurs techniques pour rduire la probabilit qu'un utilisateur
malveillant parvienne accder au systme. Les diffrentes restrictions numres ci-dessous
s'appliquent uniquement aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous
avez mapps une base de donnes d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de
manire gnrale, votre systme externe vous permettra de placer des restrictions similaires sur les
comptes externes.
7.9.2 Restrictions relatives aux mots de passe
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par dfaut crer des mots de passe relativement complexes. Vous pouvez activer les options
suivantes :
Respecter la casse dans les mots de passe
Cette option permet de s'assurer que les mots de passe contiennent au moins deux classes de
caractres parmi les suivantes : majuscules, minuscules, nombres ou ponctuation.
Doit comprendre N caractres au moins
En exigeant une complexit minimale dans le choix d'un mot de passe, vous rduisez les chances
qu'un utilisateur malveillant devine le mot de passe valide d'un autre utilisateur.
2012-05-10 160
Scurisation de la plateforme de BI
7.9.3 Restrictions relatives aux connexions
Les restrictions relatives aux connexions servent principalement viter les attaques l'aide de
dictionnaires (mthode par laquelle un utilisateur malveillant obtient un nom d'utilisateur valide et tente
de retrouver le mot de passe correspondant en essayant chaque mot du dictionnaire). Grce la vitesse
du matriel moderne, des programmes nuisibles peuvent deviner des millions de mots de passe la
minute. Pour viter les attaques l'aide du dictionnaire, la plateforme de BI dispose d'un mcanisme
interne qui impose un dlai (0,5 1 seconde) entre chaque tentative de connexion. En outre, la
plateforme fournit plusieurs options personnalisables permettant de rduire les risques de ce type
d'attaque :
Dsactiver le compte aprs N checs de connexion
Rinitialiser le compte dont la connexion a chou aprs N minute(s)
Ractiver le compte aprs N minute(s)
7.9.4 Restrictions relatives aux utilisateurs
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par dfaut crer rgulirement de nouveaux mots de passe. Vous pouvez activer les options suivantes :
Le mot de passe doit tre modifi tous les N jour(s)
Les N derniers mots de passe ne peuvent tre rutiliss
Le mot de passe peut tre modifi aprs N minute(s)
Ces options sont pratiques bien des gards. Premirement, un utilisateur malveillant qui tente une
attaque l'aide d'un dictionnaire devra recommencer chaque fois qu'un mot de passe est modifi. En
outre, tant donn que les modifications d'un mot de passe sont bases sur l'heure de la premire
connexion de chaque utilisateur, l'utilisateur malveillant ne peut pas facilement dterminer quel
moment un mot de passe particulier est modifi. De plus, mme si un utilisateur malveillant devine ou
obtient de quelque manire que ce soit les rfrences d'un autre d'utilisateur, celles-ci ne seront valides
que pour une dure limite.
7.9.5 Restrictions relatives au compte Guest
La plateforme de BI prend en charge la connexion unique anonyme pour le compte Guest. Par
consquent, lorsque les utilisateurs se connectent la plateforme de BI sans spcifier de nomd'utilisateur
2012-05-10 161
Scurisation de la plateforme de BI
ni de mot de passe, le systme les connecte automatiquement sous le compte Guest. Si vous affectez
un mot de passe scuris un compte "Guest", ou si vous dsactivez entirement le compte "Guest",
vous dsactivez par la mme occasion ce fonctionnement par dfaut.
7.10 Extensions de traitement
La plateforme de BI vous permet de renforcer la scurit de votre environnement de reporting grce
l'utilisation d'extensions de traitement personnalises. Une extension de traitement est une bibliothque
de codes charge dynamiquement qui applique une logique d'entreprise des requtes particulires
de visualisation ou de planification sur la plateforme de BI avant qu'elles ne soient traites par le
systme.
A travers sa prise en charge des extensions de traitement, le SDK d'administration de la plateforme de
BI livre essentiellement un "descripteur" qui permet aux dveloppeurs d'intercepter la requte. Les
dveloppeurs peuvent ensuite ajouter des formules de slection la requte avant que le rapport ne
soit trait.
L'exemple standard est reprsent par une extension de traitement de rapport qui renforce la scurit
au niveau ligne. Ce type de scurit restreint l'accs aux donnes par ligne dans une ou plusieurs
tables de base de donnes. Le dveloppeur crit une bibliothque charge dynamiquement qui intercepte
les requtes de visualisation ou de planification d'un rapport (avant que les requtes ne soient traites
par un Job Server, un serveur de traitement ou un Report Application Server). Le code du dveloppeur
dtermine d'abord le propritaire du traitement, puis il recherche les droits d'accs aux donnes de
l'utilisateur dans un systme tiers. Le code gnre ensuite et ajoute une formule de slection
d'enregistrements au rapport afin de limiter la quantit de donnes renvoyes par la base de donnes.
Dans ce cas, l'extension de traitement sert intgrer une scurit de niveau ligne personnalise dans
l'environnement de la plateforme de BI.
Conseil :
En activant des extensions de traitement, vous configurez les composants serveur de la plateforme de
BI appropris pour charger dynamiquement vos extensions de traitement au moment de l'excution.
Le SDK contient une API entirement documente que les dveloppeurs peuvent utiliser pour crire
des extensions de traitement. Pour en savoir plus, voir la documentation pour dveloppeur figurant sur
la distribution de votre produit.
7.11 Prsentation de la scurit des donnes de la plateforme de BI
Les administrateurs des systmes de la plateforme de BI grent la scurisation des donnes sensibles
de la faon suivante :
Un paramtre de scurit au niveau du cluster qui dtermine quelles applications et quels clients
ont accs au CMS. Ce paramtre est gr via le Central Configuration Manager.
2012-05-10 162
Scurisation de la plateforme de BI
Un systme de cryptage deux cls qui contrle la fois l'accs au rfrentiel du CMS et les cls
utilises pour crypter/dcrypter les objets du rfrentiel. L'accs au rfrentiel du CMS est configur
via le Central Configuration Manager, tandis que la Central Management Console dispose d'une
zone de gestion ddie pour les cls de cryptage.
Ces fonctions permettent aux administrateurs de dfinir les dploiements de la plateforme de BI des
niveaux de conformit de scurit des donnes spcifiques et de grer les cls de cryptage utilises
pour crypter et dcrypter les donnes du rfrentiel du CMS.
7.11.1 Modes de scurit du traitement des donnes
La plateforme de BI peut fonctionner selon deux modes de scurit du traitement des donnes :
Mode de scurit du traitement des donnes par dfaut Dans certaines instances, les systmes
excuts dans ce mode utilisent des cls de cryptage codes en dur et n'appliquent pas de norme
spcifique. Le mode par dfaut active la rtrocompatibilit avec les applications et les outils client
des versions prcdentes de la plateforme de BI.
Un mode de scurit des donnes conu pour appliquer des directives FIPS (Federal Information
Processing Standard), notamment FIPS 140-2. Dans ce mode, des modules de cryptage et des
algorithmes compatibles FIPS protgent les donnes sensibles. Lorsque la plateforme est excute
en mode compatible FIPS, la totalit des applications et des outils client ne rpondant pas aux
directives FIPS sont automatiquement dsactivs. Les applications et outils client de la plateforme
sont conus pour rpondre au standard FIPS 140-2. Les clients et applications plus anciens ne
fonctionnent pas lorsque la plateforme SAP BusinessObjects 4.0 de Business Intelligence est
excute en mode compatible FIPS.
Le mode de traitement des donnes est transparent pour les utilisateurs du systme. Dans les deux
modes de scurit du traitement des donnes, les donnes sensibles sont cryptes et dcryptes en
arrire-plan par un moteur de cryptage interne.
Nous recommandons d'utiliser le mode compatible FIPS dans les cas suivants :
Votre dploiement de la plateforme SAP BusinessObjects 4.0 de Business Intelligence ne sera pas
amen utiliser ou interagir avec des applications ou outils client hrits de la plateforme de BI.
Les normes et directives de traitement des donnes tablies par votre organisation interdisent
l'utilisation de cls de cryptage codes en dur.
Votre organisation est tenue de scuriser ses donnes sensibles conformment aux rglementations
FIPS 140-2.
Le mode de scurit du traitement des donnes est dfini via le Central Configuration Manager sur les
plateformes Windows comme sur les plateformes UNIX. Chaque nud d'un environnement en cluster
doit tre dfini dans le mme mode.
7.11.1.1 Activation du mode compatible FIPS sous Windows
2012-05-10 163
Scurisation de la plateforme de BI
Par dfaut, le mode compatible FIPS est dsactiv aprs l'installation de la plateforme de BI. Suivez
les instructions ci-dessous pour activer le paramtre compatible FIPS sur tous les nuds de votre
dploiement.
1. Pour lancer le CCM, cliquez sur Dmarrer > Programmes > Plateforme SAP BusinessObjects
de BI 4 > Plateforme SAP BusinessObjects de BI > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
slectionnez Arrter.
Attention :
Ne passez l'tape 3 que lorsque le statut du SIA affiche Arrt.
3. Cliquez avec le bouton droit sur le SIA et choisissez Proprits.
La bote de dialogue "Proprits" s'affiche, avec l'ongletProprits ouvert.
4. Ajoutez -fips dans le champ "Commande" et cliquez sur Appliquer.
5. Cliquez sur OK pour fermer la bote de dialogue "Proprits".
6. Redmarrez le SIA.
Le SIA fonctionne dsormais en mode compatible FIPS.
Vous devez activer le paramtre compatible FIPS sur tous les SIA de votre dploiement de la plateforme
de BI.
7.11.1.2 Activation du mode compatible FIPS sous UNIX
Tous les nuds de votre dploiement de la plateforme de BI doivent tre arrts avant de tenter la
procdure suivante.
Par dfaut, le mode compatible FIPS est dsactiv aprs l'installation de la plateforme de BI. Suivez
les instructions ci-dessous pour activer le paramtre compatible FIPS sur tous les nuds de votre
dploiement.
1. Accdez au rpertoire dans lequel la plateforme de BI est installe sur votre ordinateur UNIX.
2. Accdez au rpertoire sap_bobj.
3. Saisissez ccm.config et appuyez sur la touche Entre.
Le fichier ccm.config est charg.
4. Ajoutez -fips au paramtre de commande de lancement du nud.
Le paramtre de commande de lancement du nud s'affiche sous la forme [nom du nudLancer].
5. Enregistrez vos modifications et cliquez sur Quitter.
6. Redmarrez le nud.
Le nud fonctionne dsormais en mode compatible FIPS.
2012-05-10 164
Scurisation de la plateforme de BI
Vous devez activer le paramtre compatible FIPS sur tous les nuds de votre dploiement de la
plateforme de BI.
7.11.1.3 Dsactivation du mode compatible FIPS sous Windows
Tous les serveurs de votre dploiement de la plateforme de BI doivent tre arrts avant de tenter la
procdure suivante.
Si votre dploiement est excut en mode compatible FIPS, procdez comme suit pour dsactiver ce
paramtre.
1. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
slectionnez Arrter.
Attention :
Ne passez l'tape 2 que lorsque le statut du nud affiche "Arrt".
2. Cliquez avec le bouton droit sur le SIA et choisissez Proprits.
La bote de dialogue "Proprits" s'affiche.
3. Supprimez -fips du champ "Commande" et cliquez sur Appliquer.
4. Cliquez sur OK pour fermer la bote de dialogue "Proprits".
5. Redmarrez le SIA.
7.12 Cryptographie sur la plateforme de BI
Donnes sensibles
La fonction de cryptage de la plateforme de BI est conue pour protger les donnes sensibles stockes
dans le rfrentiel CMS. Les donnes sensibles incluent les rfrences de connexion utilisateur, les
donnes de connectivit des sources de donnes et tout autre objet d'information stockant un mot de
passe. Ces donnes sont cryptes afin d'en garantir la confidentialit, de les protger de la corruption
et d'en contrler l'accessibilit. Toutes les ressources de cryptage requises (notamment le moteur de
cryptage, les bibliothques RSA) sont installes par dfaut sur chaque dploiement de la plateforme
de BI.
La plateforme de BI utilise un systme de cryptage deux cls.
Cls de cryptage
Le cryptage et le dcryptage des donnes sensibles sont traits en arrire-plan via l'interaction du SDK
avec le moteur de cryptage interne. Les administrateurs systme grent la scurit des donnes
l'aide de cls de cryptage symtriques, sans crypter ou dcrypter directement des blocs de donnes
spcifiques.
2012-05-10 165
Scurisation de la plateforme de BI
Sur la plateforme de BI, des cls de cryptage symtriques (galement appeles cls de chiffrement)
sont utilises pour crypter/dcrypter les donnes sensibles. La Central Management Console dispose
d'une zone de gestion ddie aux cls de cryptage. La zone "Cls de cryptage" permet d'afficher, de
gnrer, de dsactiver, de bloquer et de supprimer des cls. Le systme veille ce qu'aucune cl
ncessaire au dcryptage de donnes sensibles ne puisse tre supprime.
Cls de cluster
Les cls de cluster sont des cls symtriques qui "enveloppent" les cls protgeant les cls de cryptage
stockes dans le rfrentiel CMS. Grce des algorithmes de cls symtriques, les cls de cluster
garantissent un certain niveau d'accessibilit au rfrentiel CMS. Une cl de cluster est affecte
chaque nud de la plateforme de BIau cours de la configuration de l'installation. Les administrateurs
systme peuvent utiliser le CCM pour rinitialiser la cl de cluster.
7.12.1 Utilisation de cls de cluster
Lors de l'excution du programme de configuration d'installation de la plateforme de BI, une cl de
cluster six caractres est spcifie pour le Server Intelligence Agent. Cette cl permet de crypter
toutes les cls de cryptage du rfrentiel du CMS. Si vous ne disposez pas de la cl de cluster adquate,
vous ne pouvez pas accder au CMS. La cl de cluster est stocke dans un format chiffr dans le
fichier dbinfo. Dans une installation Windows par dfaut, le fichier est stock dans le rpertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\win64_x64 . Dans les systmes Unix, le fichier est stock dans le rpertoire de la plateforme
sous <REPINSTALL>/sap_bobj/enterprise_xi40/.
Chemin Plateforme Unix
<REPINSTALL>/sap_bobj/enterprise_xi40/aix_rs6000_64
/
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/solaris_spar
cv9/
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/linux_x64/ Linux
Le nom de fichier est bas sur la convention suivante : _boe_<sia_name>.dbinfo, o <sia_name>
est le nom du Server Intelligence Agent pour le cluster.
Remarque :
La cl de cluster d'un nud ne peut pas tre extraite du fichier dbinfo. Nous recommandons aux
administrateurs systme de prendre des mesures scrupuleuses pour protger les cls de cluster.
Seuls les utilisateurs disposant des droits d'administrateur peuvent rinitialiser les cls de cluster. Si
ncessaire, utilisez le CCM pour rinitialiser la cl de cluster six caractres pour chaque nud de
votre dploiement. De nouvelles cls de cluster sont automatiquement utilises pour "envelopper" les
cls de cryptage dans le rfrentiel du CMS.
2012-05-10 166
Scurisation de la plateforme de BI
7.12.1.1 Rinitialisation de la cl de cluster sous Windows
Avant de rinitialiser la cl de cluster, veillez ce que tous les serveurs grs par le Server Intelligence
Agent soient l'arrt.
Procdez comme suit pour rinitialiser la cl de cluster de votre nud.
1. Pour lancer le CCM, accdez Dmarrer > Programmes > Plateforme SAP BusinessObjects
de BI 4 > Plateforme SAP BusinessObjects de BI > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
slectionnez Arrter.
Attention :
Ne passez l'tape 3 que lorsque le statut du SIA affiche Arrt.
3. Cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et slectionnez
Proprits.
La bote de dialogue "Proprits" s'affiche, avec l'ongletProprits ouvert.
4. Cliquez sur l'onglet Configuration.
5. Cliquez sur Modifier sous "Configuration de cl de cluster CMS".
Si un message d'avertissement s'affiche, avant de continuer, confirmez que toutes les conditions
rpertories dans le message d'avertissement ont t satisfaites.
6. Cliquez sur Oui pour continuer.
La bote de dialogue "Modifier la cl de cluster" s'affiche.
7. Saisissez la mme cl six caractres dans le champ Nouvelle cl de cluster et le champ
Confirmer la nouvelle cl de cluster.
Remarque :
Sur la plateforme Windows, les cls de cluster doivent comporter deux des types de caractre
suivants : minuscule, majuscule, numrique ou ponctuation. Les utilisateurs peuvent aussi gnrer
une cl alatoire. Une cl alatoire est requise pour la compatibilit FIPS.
8. Cliquez sur OK pour soumettre la nouvelle cl de cluster au systme.
Un message confirme que la cl du cluster a t correctement rinitialise.
9. Redmarrez le SIA.
En cas de cluster multi-nuds, vous devez rinitialiser les cls de cluster pour tous les SIA de votre
dploiement de la plateforme de BI avec cette nouvelle cl.
7.12.1.2 Rinitialisation de la cl de cluster sous UNIX
2012-05-10 167
Scurisation de la plateforme de BI
Avant de rinitialiser la cl de cluster d'un nud, veillez ce que tous les serveurs grs par le nud
soient l'arrt.
1. Accdez au rpertoire dans lequel la plateforme de BI est installe sur votre ordinateur UNIX.
2. Passez dans le rpertoire sap bobj.
3. Saisissez cmsdbsetup.sh et appuyez sur la touche Entre.
L'cran "Configuration de la base de donnes du CMS" s'affiche.
4. Saisissez le nom du nud et appuyez sur la touche Entre.
5. Tapez 2 pour modifier la cl de cluster.
Un message d'avertissement apparat.
6. Slectionnez Oui pour continuer.
7. Dans le champ propos, saisissez une nouvelle cl de cluster huit caractres et appuyez sur
Entre.
Remarque :
Sur les plateformes UNIX, une cl de cluster valide contient une combinaison de huit caractres
sans restrictions.
8. Saisissez nouveau la nouvelle cl de cluster dans le champ propos et appuyez sur la touche
Entre.
Un message s'affiche, vous informant que la cl de cluster a bien t rinitialise.
9. Redmarrez le nud.
Vous devez rinitialiser tous les nuds de votre dploiement de la plateforme de BI pour utiliser la
mme cl de cluster.
7.12.2 Agents de cryptographie
Pour grer les cls de cryptage dans la CMC, vous devez tre membre du groupe Agents de
cryptographie. Le compte administrateur par dfaut cr pour la plateforme de BI est galement membre
du groupe Agents de cryptographie. Utilisez ce compte pour ajouter des utilisateurs au groupe Agents
de cryptographie selon vos besoins. Nous recommandons de restreindre les membres du groupe un
nombre limit d'utilisateurs.
Remarque :
Lorsque des utilisateurs sont ajouts au groupe Administrateurs, ils n'hritent pas des droits requis
pour effectuer des tches de gestion sur des cls de cryptage.
2012-05-10 168
Scurisation de la plateforme de BI
7.12.2.1 Ajout d'un utilisateur au groupe Agents de cryptographie
Un compte utilisateur doit exister sur la plateforme de BI avant de pouvoir tre ajout au groupe Agents
de cryptographie.
Remarque :
Vous devez tre membre des groupes Administrateurs et Agents de cryptographie pour ajouter un
utilisateur au groupe Agents de cryptographie.
1. Dans la zone de gestion des "Utilisateurs et groupes" de la CMC, slectionnez le groupe Agents
de cryptographie.
2. Cliquez sur Actions > Ajouter des membres au groupe.
La bote de dialogue "Ajouter" apparat.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualise et affiche tous les comptes utilisateur du
systme.
4. Dplacez le compte utilisateur que vous souhaitez ajouter au groupe Agents de cryptographie de
la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes slectionns.
Conseil :
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
5. Cliquez sur OK.
En qualit de membre du groupe Agents de cryptographie, le compte rcemment ajout aura accs
la zone de gestion des "Cls de cryptage" de la CMC.
7.12.2.2 Affichage des cls de cryptage dans la CMC
L'application de la CMC contient une zone de gestion ddie aux cls de cryptage utilises par le
systme de la plateforme de BI. L'accs cette zone est rserv aux membres du groupe Agents de
cryptographie.
1. Pour lancer la CMC, accdez Dmarrer > Programmes > Plateforme SAP BusinessObjects
de BI 4 > Plateforme SAP BusinessObjects de BI > Central Management Console de la
plateforme SAP BusinessObjects de BI.
La page d'accueil de la CMC s'affiche.
2. Cliquez sur l'onglet Cls de cryptage.
La zone de gestion "Cls de cryptage" s'affiche.
3. Double-cliquez sur la cl de cryptage sur laquelle vous souhaitez afficher de plus amples dtails.
2012-05-10 169
Scurisation de la plateforme de BI
Rubriques associes
Affichage des objets associs une cl de cryptage
7.12.3 Gestion des cls de cryptage dans la CMC
Les agents de cryptographie utilisent la zone de gestion des "cls de cryptage" pour examiner, gnrer,
dsactiver, bloquer et supprimer les cls servant protger les donnes sensibles stockes dans le
rfrentiel du CMS.
Toutes les cls de cryptage actuellement dfinies dans le systme sont rpertories dans la zone de
gestion des "cls de cryptage". Les informations de base concernant chaque cl sont fournies dans
les en-ttes prsents dans le tableau suivant :
Description En-tte
Nom permettant d'identifier la cl de cryptage Titre
Statut actuel de la cl Statut
Horodatage de la dernire modification associe la cl de cryptage Dernire modification
Nombre d'objets associs la cl Objets
Rubriques associes
Statut des cls de cryptage
Cration d'une cl de cryptage
Suppression d'une cl de cryptage du systme
Blocage d'une cl de cryptage
Affichage des objets associs une cl de cryptage
Dfinition des cls de cryptage sur le statut Compromis
7.12.3.1 Statut des cls de cryptage
Le tableau suivant rpertorie toutes les options de statut possibles pour les cls de cryptage dans la
plateforme de BI :
2012-05-10 170
Scurisation de la plateforme de BI
Description Statut
Une seule cl de cryptage peut tre dfinie sur le statut "Actif"
dans le systme. Cette cl permet de crypter les donnes sen-
sibles qui seront stockes dans la base de donnes du CMS.
Cette cl permet galement de dcrypter tous les objets qui
apparaissent dans la liste Objet. Une fois qu'une cl de cryptage
est cre, le statut "Actif" devient "Dsactiv". Une cl active
ne peut pas tre supprime du systme.
Actif
Une cl dfinie sur le statut "Dsactiv" ne peut plus tre utilise
pour crypter des donnes. Elle permet toutefois de dcrypter
tous les objets qui apparaissent dans la liste Objet. La ractiva-
tion d'une cl n'est plus possible ds lors qu'elle a t dsacti-
ve. Une cl dfinie sur le statut "Dsactiv" ne peut pas tre
supprime du systme. Vous devez dfinir le statut de la cl
sur "Bloqu" pour pouvoir la supprimer.
Dsactiv
Une cl de cryptage dont la scurit est douteuse peut tre
dfinie sur le statut Compromis. En l'indiquant de la sorte, vous
pouvez procder ultrieurement au recryptage des objets de
donnes encore associs cette cl. Une fois qu'une cl est
dfinie sur le statut Compromis, elle doit tre bloque pour
pouvoir tre supprime du systme.
Compromis
Lorsqu'une cl de cryptage est bloque, un processus est lanc
dans lequel tous les objets actuellement associs la cls sont
recrypts avec la cl de cryptage actuellement dfinie sur le
statut Actif. Une fois qu'une cl est dfinie sur le statut Bloqu,
elle peut tre supprime du systme en toute scurit. Le m-
canisme de blocage garantit que les donnes de la base de
donnes du CMS peuvent toujours tre dchiffres. Il n'existe
aucun moyen de ractiver une cl une fois qu'elle a t bloque.
Bloqu
2012-05-10 171
Scurisation de la plateforme de BI
Description Statut
Indique que la cl de cryptage est sur le point d'tre bloque.
Une fois ce processus termin, la cl passe au statut "Bloqu".
Dsactiv : renouvellement du cryp-
tage en cours de traitement
Indique que le processus de blocage de la cl de cryptage a
t suspendu. Cela survient gnralement lorsque le processus
a t suspendu dlibrment ou si un objet de donnes associ
la cl n'est pas disponible.
Dsactiv : rgnration de cl suspe-
ndue
Une cl affiche le statut Bloqu-Compromis si elle a t dfinie
sur le statut Compromis et que toutes les donnes qui lui
taient pralablement associes ont t chiffres avec une
autre cl. Lorsqu'une cl dfinie sur le statut "Dsactiv" prend
le statut Compromis, vous avez le choix entre ne rien faire ou
bloquer la cl. Une fois qu'une cl dfinie sur le statut Compro-
mis est bloque, elle peut tre supprime.
Bloqu-Compromis
7.12.3.2 Affichage des objets associs une cl de cryptage
1. Slectionnez la cl dans la zone de gestion des "Cls de cryptage" de la CMC.
2. Cliquez sur Grer > Proprits.
La bote de dialogue "Proprits" de la cl de cryptage s'affiche.
3. Cliquez sur "Liste d'objets"dans le volet de navigation situ gauche de la bote de dialogue
"Proprits".
Tous les objets associs la cl de cryptage sont rpertoris droite du volet de navigation.
Conseil :
Utilisez les fonctions de recherche pour rechercher un objet spcifique.
7.12.3.3 Cration d'une cl de cryptage
Attention :
Lors de la cration d'une cl de cryptage, le systme dsactive automatiquement la cl dont le statut
est "Actif". Lorsqu'une cl a t dsactive, elle ne peut plus reprendre le statut "Actif".
1. Dans la zone de gestion des "cls de cryptage"de la CMC, cliquez surGrer > Crer > Cl de
cryptage.
La bote de dialogue "Crer une cl de cryptage" s'affiche.
2012-05-10 172
Scurisation de la plateforme de BI
2. Cliquez sur Continuer pour crer la cl de cryptage.
3. Saisissez le nomet la description de la nouvelle cl de cryptage, puis cliquez sur OKpour enregistrer
vos informations.
La nouvelle cl est rpertorie comme l'unique cl active dans la zone de gestion des "cls de
cryptage". La cl qui affichait auparavant le statut "Actif" apparat dsormais avec le statut "Dsactiv."
Toutes les nouvelles donnes sensibles gnres et stockes dans la base de donnes du CMS seront
prsent cryptes avec la nouvelle cl de cryptage. Vous avez la possibilit de bloquer la cl prcdente
et de recrypter tous ses objets de donnes avec la nouvelle cl active.
7.12.3.4 Dfinition des cls de cryptage sur le statut Compromis
Vous pouvez dfinir une cl de cryptage sur le statut Compromis si, pour une raison ou une autre, cette
cl n'est plus considre comme sre. Cette fonction est utile dans le cadre du suivi des objectifs et
permet d'identifier les objets de donnes associs la cl. Une cl de cryptage doit tre dsactive
avant de pouvoir tre dfinie sur le statut Compromis.
Remarque :
Vous pouvez galement dfinir une cl sur le statut Compromis aprs l'avoir bloque.
1. Accdez la zone de gestion des "cls de cryptage" de la CMC.
2. Slectionnez la cl de cryptage dfinir sur le statut Compromis.
3. Cliquez sur Actions > Marquer comme compromis.
La bote de dialogue "Marquer comme compromis" s'affiche.
4. Cliquez sur Continuer.
5. Slectionnez l'une des options suivantes dans la bote de dialogue "Marquer comme compromis" :
Oui : lance le processus de recryptage de tous les objets de donnes associs la cl dfinie
sur le statut Compromis.
Non : la bote de dialogue "Marquer comme compromis" est ferme et la cl de cryptage est
dfinie sur le statut "Compromis" dans la zone de gestion des "cls de cryptage".
Remarque :
Si vous slectionnez Non, les donnes sensibles restent associes la cl dfinie sur le statut
Compromis. Celle-ci sera utilise par le systme pour dcrypter les objets associs.
Rubriques associes
Blocage d'une cl de cryptage
Statut des cls de cryptage
Affichage des objets associs une cl de cryptage
2012-05-10 173
Scurisation de la plateforme de BI
7.12.3.5 Blocage d'une cl de cryptage
Une cl de cryptage portant le statut "Dsactiv" peut tre utilise par les objets de donnes qui lui
sont associs. Pour annuler l'association entre les objets crypts et la cl dsactive, vous devez
bloquer cette cl.
1. Slectionnez la cl bloquer dans la liste de cls de la zone de gestion des "cls de cryptage".
2. Cliquez sur Actions > Bloquer.
La bote de dialogue "Bloquer la cl de cryptage" s'ouvre et affiche un message d'avertissement.
3. Cliquez sur OK pour bloquer la cl de cryptage.
Un processus est lanc pour crypter tous les objets de donnes de la cl avec la cl actuellement
active. Si la cl est associe de nombreux objets de donnes, elle est marque comme "Dsactiv :
renouvellement du cryptage en cours de traitement" jusqu' ce que le processus de renouvellement
de cryptage soit termin.
Lorsqu'une cl de cryptage a t bloque, elle peut tre supprime du systme en toute scurit du
fait qu'aucun objet de donnes sensibles ne requiert cette cl pour tre dcrypt.
7.12.3.6 Suppression d'une cl de cryptage du systme
Avant de pouvoir supprimer une cl de cryptage de la plateforme de BI, vous devez vrifier qu'aucun
objet de donnes du systme ne requiert cette cl. Cette restriction garantit que toutes les donnes
sensibles stockes dans le rfrentiel du CMS puissent toujours tre dcryptes.
Une fois la cl de cryptage bloque, suivez les instructions ci-dessous pour supprimer la cl du systme.
1. Accdez la zone de gestion des "cls de cryptage" de la CMC.
2. Slectionnez la cl de cryptage supprimer.
3. Cliquez sur Grer > Supprimer.
La bote de dialogue "Supprimer une cl de cryptage" s'affiche.
4. Cliquez sur Supprimer pour supprimer la cl de cryptage du systme.
La cl supprime n'est plus affiche dans la zone de gestion "Cls de cryptage" de la CMC.
Remarque :
Lorsqu'une cl de cryptage a t supprime du systme, elle ne peut plus tre restaure.
Rubriques associes
Blocage d'une cl de cryptage
Statut des cls de cryptage
2012-05-10 174
Scurisation de la plateforme de BI
7.13 Configuration des serveurs pour SSL
Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour toutes les communications rseau
tablies entre clients et serveurs au sein de votre dploiement de la plateforme de BI.
Pour configurer le protocole SSL pour toutes les communications serveur, vous devez effectuer les
oprations suivantes :
Dployez la plateforme de BI avec le protocole SSL activ.
Crez des fichiers de cl et de certificat pour chaque ordinateur faisant partie de votre dploiement.
Configurez l'emplacement de ces fichiers dans le CCM (Central Configuration Manager) et votre
serveur d'applications Web.
Remarque :
Si vous utilisez des clients lourds, tels que Crystal Reports ou Designer, vous devez galement les
configurer pour SSL si vous voulez vous connecter au CMS partir de ces clients lourds. Sinon, vous
obtiendrez des messages d'erreur lorsque vous tenterez de vous connecter un CMS configur pour
SSL partir d'un client lourd non configur de la mme manire.
7.13.1 Cration de fichiers de cl et de certificat
Pour configurer le protocole SSL pour vos communications serveur, crez un fichier de cl et un fichier
de certificat pour chaque ordinateur faisant partie de votre dploiement l'aide de l'outil de ligne de
commande SSLC.
Remarque :
Vous devez crer des certificats et des cls pour tous les ordinateurs du dploiement, y compris
ceux qui excutent des composants client lourds tels que Crystal Reports. Pour ces ordinateurs
client, utilisez l'outil de ligne de commande sslconfig pour effectuer la configuration.
Pour une scurit maximale, toutes les cls prives doivent tre protges et ne doivent pas tre
transfres sur des canaux de communication non protgs.
Les certificats crs pour des versions antrieures de la plateforme de BI ne fonctionneront pas
avec la plateforme SAP BusinessObjects 4.0 de Business Intelligence. Ces certificats devront tre
recrs.
7.13.1.1 Pour crer un fichier de cl et un fichier de certificat pour un ordinateur
2012-05-10 175
Scurisation de la plateforme de BI
1. Excutez l'outil de ligne de commande SSLC.exe.
L'outil SSLC est install avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par dfaut dans le rpertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64.)
2. Saisissez la commande suivante :
sslc req -config sslc.cnf -new -out cacert.req
Cette commande cre deux fichiers : une demande de certificat auprs d'une autorit de certification
(cacert.req) et une cl prive (privkey.pem).
3. Pour dcrypter la cl prive, saisissez la commande suivante :
sslc rsa -in privkey.pem -out cakey.pem
Cette commande cre la cl dcrypte cakey.pem.
4. Pour signer le certificat mis par l'autorit de certification, saisissez la commande suivante :
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days
365
Cette commande cre un certificat auto-sign (cacert.pem), qui expire au bout de 365 jours.
Choisissez le nombre de jours le mieux adapt vos besoins en terme de scurit.
5. A l'aide d'un diteur de texte, ouvrez le fichier sslc.cnf situ dans le mme dossier que l'outil de
ligne de commande SSLC.
Remarque :
L'utilisation d'un diteur de texte est fortement recommande pour Windows, car Windows Explorer
risque de ne pas reconnatre et afficher correctement les fichiers ayant l'extension .cnf.
6. Suivez la procdure ci-aprs base sur les paramtres du fichier sslc.cnf.
Placez les fichiers cakey.pem et cacert.pem dans les rpertoires spcifis par les options
certificate et private_key du fichier sslc.cnf.
Par dfaut, les paramtres dans le fichier sslc.cnf sont les suivants :
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
Crez un fichier portant le nom spcifi par le paramtre database du fichier sslc.cnf.
Remarque :
Par dfaut, ce fichier est $dir/index.txt. Le fichier doit tre vide.
Crez un fichier portant le nom spcifi par le paramtre serial du fichier sslc.cnf.
Assurez-vous que ce fichier comporte un numro de srie de type chane d'octets (format
hexadcimal).
2012-05-10 176
Scurisation de la plateforme de BI
Remarque :
Pour tre sr de pouvoir crer et signer d'autres certificats, choisissez un grand nombre
hexadcimal comportant un nombre pair de chiffres, tel que
11111111111111111111111111111111.
Crez le rpertoire spcifi par le paramtre new_certs_dir du fichier sslc.cnf.
7. Pour crer une demande de certificat et une cl prive, saisissez la commande suivante :
sslc req -config sslc.cnf -new -out servercert.req
Le certificat et les fichiers de cls gnrs sont placs dans le dossier de travail en cours.
8. Excutez la commande suivante pour dcrypter la cl dans le fichier privkey.pem.
sslc rsa -in privkey.pem -out server.key
9. Pour signer le certificat valid par l'autorit de certification, saisissez la commande suivante :
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Cette commande cre le fichier servercert.pem qui contient le certificat sign.
10. Tapez les commandes suivantes pour convertir les certificats en certificats cods DER :
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Remarque :
Le certificat mis par l'autorit de certification (cacert.der) et la cl prive correspondante (ca
key.pem) ne doivent tre gnrs qu'une seule fois par dploiement. Tous les ordinateurs du mme
dploiement doivent partager les mmes certificats. Tous les autres certificats doivent tre signs
par la cl prive de l'un des certificats manant de l'autorit de certification.
11. Crez un fichier texte passphrase.txtpour stocker la phrase de passe en texte brut utilise
pour dcrypter la cl prive gnre.
12. Stockez les fichiers de cl et de certificat suivants dans un emplacement sr (sous le mme rpertoire
(d:/ssl)) accessible aux ordinateurs de votre dploiement de la plateforme de BI :
fichier du certificat approuv (cacert.der)
fichier du certificat serveur gnr (servercert.der)
fichier de la cl serveur (server.key)
fichier de phrase de passe
Cet emplacement sera utilis pour configurer le protocole SSL pour le CCM et votre serveur
d'applications Web.
7.13.2 Configuration du protocole SSL
2012-05-10 177
Scurisation de la plateforme de BI
Aprs avoir cr des fichiers de cl et de certificat pour chaque ordinateur de votre dploiement et les
avoir stocks en lieu sr, vous devez indiquer l'emplacement de ces fichiers au CCM (Central
Configuration Manager) et votre serveur d'applications Web.
Vous devez galement implmenter certaines tapes pour configurer le protocole SSL pour le serveur
d'applications Web et pour tout ordinateur excutant une application client lourd.
7.13.2.1 Pour configurer le protocole SSL pour le CCM
1. Dans le CCM, cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Proprits.
2. Dans la bote de dialogue Proprits, cliquez sur l'onglet Protocole.
3. Assurez-vous que le paramtre Activer SSL est slectionn.
4. Indiquez le chemin d'accs au rpertoire dans lequel sont stocks les fichiers de cl et de certificat.
Description Champ
Dossier dans lequel sont stocks tous les certificats et fichiers
SSL requis. Par exemple :d:\ssl
Dossier des certificats SSL
Nom du fichier utilis pour stocker le certificat SSL du serveur.
Par dfaut, servercert.der
Fichier du certificat SSL du serveur
Nom du fichier contenant les certificats SSL approuvs. Le
nom par dfaut est : cacert.der
Fichier des certificats SSL approu-
vs
Nom du fichier de cl prive SSL utilis pour accder au certi-
ficat. Le nom par dfaut est : server.key
Fichier de la cl prive SSL
Nomdu fichier texte contenant la phrase de passe utilise pour
accder la cl prive. Le nom par dfaut est : pass
phrase.txt
Fichier contenant la phrase de pa-
sse de la cl prive SSL
Remarque :
Vrifiez que le rpertoire mentionn se trouve sur l'ordinateur sur lequel s'excute le serveur.
7.13.2.2 Configuration du protocole SSL sous UNIX
Vous devez utilisez le script serverconfig.sh pour configurer le protocole SSL pour un SIA. Ce
script fournit un programme textuel qui vous permet d'afficher des informations sur les serveurs et
d'ajouter et de supprimer des serveurs de votre installation. Le script serverconfig.sh se trouve
dans le rpertoire sap_bobj de votre installation.
2012-05-10 178
Scurisation de la plateforme de BI
1. Utilisez le script ccm.sh pour arrter le SIA et tous les serveurs SAP BusinessObjects.
2. Excutez le script serverconfig.sh.
3. Slectionnez 3 - Modifier un nud, puis appuyez sur la touche Entre.
4. Spcifiez le SIA cible et appuyez sur Entre.
5. Slectionnez l'option 1 - Modifier la configuration SSL du Server Intelligence Agent.
6. Slectionnez ssl.
Lorsque vous y tes invit, spcifiez les emplacements de certificats SSL.
7. Si votre dploiement de la plateforme de BI est un cluster de SIA, rptez les tapas de 1 6 pour
chaque SIA.
8. Dmarrez le SIA avec le script ccm.sh et attendez le dmarrage des serveurs.
7.13.2.3 Pour configurer le protocole SSL pour le serveur d'applications Web
1. Si vous disposez d'un serveur d'applications Web J2EE, excutez le SDK Java avec les proprits
systme suivantes : Par exemple :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der
-DsslKey=client.key
-Dpassphrase=passphrase.txt
Le tableau ci-dessous affiche les descriptions correspondant ces exemples.
Description Exemple
Rpertoire de stockage des certificats et des
cls.
DcertDir=d:\ssl
Fichier de certificat approuv. Si vous en spci-
fiez plusieurs, sparez-les par des points-vir-
gules.
DtrustedCert=cacert.der
Certificat utilis par le SDK. DsslCert=clientcert.der
Cl prive du certificat SDK. DsslKey=client.key
Fichier de stockage de la phrase de passe de
la cl prive.
Dpassphrase=passphrase.txt
2012-05-10 179
Scurisation de la plateforme de BI
2. Si vous disposez d'un serveur d'applications Web IIS, excutez l'outil sslconfig partir de la ligne
de commande et suivez les tapes de configuration.
7.13.2.4 Pour configurer les clients lourds
Avant d'effectuer la procdure suivante, vous devez crer et enregistrer toutes les ressources SSL
ncessaires (les certificats et les cls prives, par exemple) dans un rpertoire connu.
Dans la procdure ci-dessous, il est suppos que vous avez suivi les instructions de cration des
ressources SSL suivantes :
Ressource SSL
d:\ssl Dossier des certificats SSL
servercert.der Nom du fichier du certificat SSL du serveur
cacert.der Certificat approuv SSL ou nom du fichier de certificat racine
server.key Nom du fichier de la cl prive SSL
passphrase.txt Fichier contenant la phrase de passe pour accder au fichier de la cl prive
SSL
Une fois les ressources ci-dessus cres, observez les instructions suivantes pour configurer les
applications client lourd telles que le Central Configuration Manager (CCM) ou l'outil de gestion de la
mise niveau.
1. Assurez-vous que l'application client lourd n'est pas en cours d'opration.
Remarque :
Vrifiez que le rpertoire mentionn se trouve sur l'ordinateur sur lequel s'excute le serveur.
2. Excutez l'outil de ligne de commande sslconfig.exe.
L'outil SSLC est install avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par dfaut dans le rpertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64.)
3. Saisissez la commande suivante :
sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key
-passphrase passphrase.txt -protocol ssl
4. Relancez l'application client lourd.
Rubriques associes
Pour crer un fichier de cl et un fichier de certificat pour un ordinateur
2012-05-10 180
Scurisation de la plateforme de BI
7.13.2.4.1 Pour configurer la connexion SSL pour l'outil de gestion de la traduction
Pour permettre aux utilisateurs d'utiliser la connexion SSL avec l'outil de gestion de la traduction, les
informations concernant les ressources SSL doivent tre ajoutes au fichier de configuration (.ini)
de l'outil.
1. Cherchez le fichier TransMgr.ini dans le rpertoire suivant : <REPINSTALL>\SAPBusinessObjects
Enterprise XI 4.0\win32_x86.
2. A l'aide d'un diteur de texte, ouvrez le fichier TransMgr.ini.
3. Ajoutez les paramtres suivants :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4. Enregistrez le fichier et fermez l'diteur de texte.
Les utilisateurs peuvent prsent utiliser SSL pour se connecter l'outil de gestion de la traduction.
7.13.2.4.2 Pour configurer SSL pour l'outil de conversion de rapports
Avant d'effectuer la procdure suivante, vous devez crer et enregistrer toutes les ressources SSL
ncessaires (les certificats et les cls prives, par exemple) dans un rpertoire connu. En outre, l'outil
de conversion de rapports doit tre install dans le cadre de votre dploiement de la plateforme de BI.
Dans la procdure ci-dessous, il est suppos que vous avez suivi les instructions de cration des
ressources SSL suivantes :
Ressource SSL
d:\ssl Dossier des certificats SSL
servercert.der Nom du fichier du certificat SSL du serveur
cacert.der Certificat approuv SSL ou nom du fichier de certificat racine
server.key Nom du fichier de la cl prive SSL
passphrase.txt Fichier contenant la phrase de passe pour accder au fichier de la cl prive
SSL
Une fois les ressources ci-dessus cres, observez les instructions suivantes pour configurer SSL afin
d'utiliser l'outil de conversion de rapports.
1. Crez une variable d'environnement Windows BOBJ_MIGRATION sur l'ordinateur hbergeant l'outil
de conversion de rapport.
Conseil :
La variable peut tre dfinie sur une valeur quelconque.
2. A l'aide d'un diteur de texte, ouvrez le fichier migration.bat dans le rpertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
2012-05-10 181
Scurisation de la plateforme de BI
3. Cherchez la ligne suivante :
start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar"
4. Ajoutez ceci aprs le paramtre -Xss10m :
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=C:/ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Remarque :
Assurez-vous de la prsence d'un espace entre chaque paramtre.
5. Enregistrez le fichier et fermez l'diteur de texte.
Les utilisateurs peuvent prsent utiliser SSL pour accder l'outil de conversion de rapports.
Rubriques associes
Pour crer un fichier de cl et un fichier de certificat pour un ordinateur
7.14 Description de la communication entre les composants de la plateforme de BI
Si votre systme de la plateforme de BI est dploy entirement sur le mme sous-rseau scuris, il
n'est pas ncessaire d'appliquer une configuration spciale vos pare-feu. Toutefois, vous pouvez
choisir de dployer certains composants sur diffrents sous-rseaux spars par un ou plusieurs
pare-feu.
Il est important de bien comprendre la communication entre les serveurs de la plateforme de BI, les
applications client enrichi et le serveur d'applications Web qui hberge le SDK de SAP BusinessObjects
Enterprise avant de configurer votre systme afin qu'il fonctionne avec les pare-feu.
Rubriques associes
Configuration de la plateforme de BI pour les pare-feu
Exemples de scnarios classiques de pare-feu
7.14.1 Prsentation des serveurs de la plateforme de BI et des ports de communication
Il est important de comprendre le fonctionnement des serveurs de la plateforme de BI et de leurs ports
de communication si le systme dploy comporte des pare-feu.
2012-05-10 182
Scurisation de la plateforme de BI
7.14.1.1 Chaque serveur de la plateforme de BI est li un port de requtes
Les serveurs de la plateforme de BI, l'Input File Repository Server par exemple, sont lis un port de
requtes lors de leur dmarrage. D'autres composants de la plateforme de BI, notamment les serveurs,
les applications client enrichi et le SDK hberg sur le serveur d'applications Web peuvent utiliser ce
port de requtes pour communiquer avec le serveur.
Les serveurs slectionnent dynamiquement leur numro de port de requtes au dmarrage ou
redmarrage, sauf s'ils sont configurs pour utiliser un numro de port spcifique. Un numro de port
de requtes spcifique doit tre attribu aux serveurs qui communiquent avec d'autres composants de
la plateforme de BI par l'intermdiaire d'un pare-feu.
7.14.1.2 Chaque serveur de la plateforme de BI s'enregistre auprs du CMS
Lorsqu'ils dmarrent, les serveurs de la plateforme de BI s'enregistrent auprs du CMS. Le CMS
enregistre alors :
le nom d'hte (ou l'adresse IP) de l'ordinateur hte du serveur ;
le numro du port de requtes du serveur.
7.14.1.3 Le CMS utilise deux ports
Le CMS utilise deux ports : le port de requtes et le port du serveur de noms. Le port de requtes est
slectionn dynamiquement par dfaut. Le port du serveur de noms par dfaut est 6400.
Tous les serveurs de la plateforme de BI et applications client contactent tout d'abord le CMS sur son
port de serveur de noms. Le CMS rpondra ce contact initial en renvoyant la valeur de son port de
requtes. Les serveurs utilisent ensuite ce port de requtes pour communiquer avec le CMS.
7.14.1.4 Rpertoire des services enregistrs du Central Management Server
Le CMS (Central Management Server) fournit un rpertoire des services qu'il a enregistrs. Les autres
composants de la plateforme de BI, tels que les services, les clients enrichis et le SDK hberg sur le
serveur d'applications Web peuvent contacter le CMSet demander une rfrence un serveur particulier.
2012-05-10 183
Scurisation de la plateforme de BI
La rfrence d'un service contient le numro du port de requtes du service, le nom d'hte (ou
l'adresse IP) de l'ordinateur hte du serveur et l'ID du service.
Les composants de la plateforme de BI peuvent rsider sur un sous-rseau diffrent de celui du serveur
qu'ils utilisent. Le nom d'hte (ou l'adresse IP) contenu dans la rfrence du service doit pouvoir tre
achemin depuis l'ordinateur sur lequel se trouve le composant.
Remarque :
La rfrence un serveur de la plateforme de BI contient le nom d'hte par dfaut de l'ordinateur sur
lequel se trouve le serveur. (Lorsqu'un ordinateur a plusieurs noms d'hte, c'est le nom d'hte principal
qui est choisi.) Vous pouvez configurer un serveur de faon ce que sa rfrence contiennent
l'adresse IP et non le nom d'hte.
Rubriques associes
Communication entre les composants de la plateforme de BI
7.14.1.5 Les Server Intelligence Agents communiquent avec le Central
Management Server
Votre dploiement ne pourra pas fonctionner si le SIA (Server Intelligence Agent) et le CMS (Central
Management Server) ne peuvent pas communiquer entre eux. Assurez-vous que les ports de votre
pare-feu sont configurs de faon autoriser la communication entre tous les SIA et tous les CMS du
cluster.
7.14.1.6 Les processus enfants du Job Server communiquent avec le niveau
donnes et le CMS
La plupart des Job Servers crent un processus enfant pour grer des tches telle que la gnration
d'un rapport. Le Job Server cre un ou plusieurs processus enfants. Chaque processus enfant dispose
de son propre port de requtes.
Par dfaut, chaque Job Server slectionne dynamiquement un port de requtes pour chaque processus
enfant. Vous pouvez spcifier une plage de ports dans laquelle le Job Server peut effectuer sa slection.
Tous les processus enfants communiquent avec le CMS. Si cette communication s'effectue via un
pare-feu, vous devez effectuer les tches suivantes :
Spcifiez la plage de numros de port depuis lesquels le Job Server peut effectuer sa slection en
ajoutant les paramtres -requestJSChildPorts<port infrieur>-<port suprieur> et
-requestPort <port> la ligne de commande du serveur. Cette plage doit tre suffisamment
grande pour autoriser le nombre maximal de processus enfants spcifi par -maxJobs.
2012-05-10 184
Scurisation de la plateforme de BI
Ouvrir la plage de port spcifie sur le pare-feu.
De nombreux processus enfants communiquent avec le niveau donnes. Par exemple, un processus
enfant peut se connecter une base de donnes de reporting, extraire les donnes, puis calculer des
valeurs pour un rapport. Si le processus enfant du Job Server communique avec le niveau donnes
via un pare-feu, vous devez :
Ouvrir un chemin de communication sur le pare-feu partir de n'importe quel port de l'ordinateur
hbergeant le Job Server vers le port d'coute de base de donnes de l'ordinateur hbergeant le
serveur de base de donnes.
Rubriques associes
Prsentation des lignes de commande
7.14.2 Communication entre les composants de la plateforme de BI
Dans les workflows classiques, les composants de la plateforme de BI tels que les clients navigateur,
les applications client enrichi, les serveurs et le SDK hberg sur le serveur d'applications Web,
communiquent les uns avec les autres par le biais du rseau. Il est indispensable que vous compreniez
ces workflows pour dployer les produits SAP Business Objects sur diffrents sous-rseaux spars
par un pare-feu.
7.14.2.1 Spcifications requises pour la communication entre les composants
de la plateforme de BI
Les dploiements de la plateforme de BI doivent tre conformes ces spcifications.
1. Chaque serveur doit pouvoir tablir la communication avec tous les autres serveurs de la plateforme
de BI sur le port de requtes de ce serveur.
2. Le CMS utilise deux ports. Chaque serveur de la plateforme de BI, client enrichi et le serveur
d'applications Web qui hberge le SDK doivent pouvoir tablir la communication avec le CMS
(Central Management Server ) sur chacun de ses ports.
3. Chaque processus enfant du Job Server doit pouvoir communiquer avec le CMS.
4. Les clients lourds doivent pouvoir tablir la communication avec le port de requtes des Input et
Output File Repository Servers.
5. Si l'audit est activ pour les clients lourds et les applications Web, ils doivent tre en mesure d'initier
la communication avec le port de requtes des serveurs de traitement adaptatif qui hbergent le
service du proxy d'audit client.
6. Gnralement, le serveur d'applications Web qui hberge le SDK doit pouvoir communiquer avec
le port de requtes de chaque serveur de la plateforme de BI.
2012-05-10 185
Scurisation de la plateforme de BI
Remarque :
Le serveur d'applications Web n'a besoin de communiquer qu'avec les serveurs de la plateforme
de BI utiliss dans le dploiement. Par exemple, si Crystal Reports n'est pas utilis, le serveur
d'applications Web n'a pas besoin de communiquer avec les Cache Servers Crystal Reports.
7. Les Job Servers utilisent les numros de port spcifis avec la commande -requestJSChildPorts
<plage de ports>. Si aucune plage n'est spcifie sur la ligne de commande, les serveurs
utilisent des numros de port alatoires. Pour permettre un Job Server de communiquer avec un
CMS, un serveur FTP ou un serveur de messagerie sur un autre ordinateur, ouvrez tous les ports
de la plage spcifie par -requestJSChildPorts sur votre pare-feu.
8. Le CMS doit tre en mesure de communiquer avec le port d'coute de la base de donnes du CMS.
9. Le Connection Server, la plupart des processus enfant du Job Server et tous les serveurs de
traitement d'audit et bases de donnes systme doivent pouvoir tablir une communication avec le
port d'coute de la base de donnes de reporting.
Rubriques associes
Configuration requise pour les ports de la plateforme de Business Intelligence
7.14.2.2 Configuration requise pour les ports de la plateforme de Business
Intelligence
Cette section rpertorie les ports de communication utiliss par les serveurs de la plateforme de BI,
les applications client lourd, le serveur d'applications Web hbergeant le SDK et les applications
logicielles tierces. Si vous dployez la plateforme de BI avec des pare-feu, ces informations vous
permettront d'ouvrir le nombre minimal de ports dans ces pare-feu.
7.14.2.2.1 Ports requis pour les applications de la plateforme de BI
Ce tableau rpertorie les serveurs et les numros de port utiliss par les applications de la plateforme
de BI.
2012-05-10 186
Scurisation de la plateforme de BI
Spcifications requises pour le
port du serveur
Serveurs associs
Application
cliente
Produit
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
Port de requtes du Report Application
Server de Crystal Reports 2011
Port de requtes du serveur de traite-
ment Crystal Reports 2011
Port de requtes du Crystal Re-
ports Cache Server
CMS
Input FRS
Output FRS
Report Application Server
(RAS) de Crystal Re-
ports 2011
Serveur de traitement Crystal
Reports 2011
Crystal Reports Cache Server
Concepteur
SAP Crystal
Re-
ports 2011
Crystal Re-
ports
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
Port de requtes du serveur de traite-
ment Crystal Reports
Port de requtes du Crystal Re-
ports Cache Server
CMS
Input FRS
Output FRS
Crystal Reports Processing
Server
Crystal Reports Cache Server
Concepteur
SAP Crys-
tal Reports
pour Enter-
prise
Crystal Re-
ports
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
Port HTTP (80 par dfaut)
CMS
Input FRS
Output FRS
Application de fournisseur de
services Web (dsws
bobje.war) hbergeant les
services Web Dashboards,
Live Office et QaaWS requis
pour certaines connexions de
sources de donnes
SAPBusine-
ssObjects
Dashboards
Tableaux de
bord
2012-05-10 187
Scurisation de la plateforme de BI
Spcifications requises pour le
port du serveur
Serveurs associs
Application
cliente
Produit
Port HTTP (80 par dfaut)
Application de fournisseur de
services Web (dsws
bobje.war) hbergeant le
service Web Live Office
Client Live
Office
Live Office
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
CMS
Input FRS
SAPBusine-
ssObjects
Web Intelli-
gence Desk-
top
Plateforme
de BI
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
Port Connection Server
CMS
Input FRS
Connection Server
Outil de co-
nception
d'univers
Plateforme
de BI
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
CMS
Input FRS
Gestionnaire
de vues
d'entreprise
Plateforme
de BI
2012-05-10 188
Scurisation de la plateforme de BI
Spcifications requises pour le
port du serveur
Serveurs associs
Application
cliente
Produit
Les ports suivants doivent tre ouverts
pour permettre au CCM de grer des
serveurs de la plateforme de BI dista-
nts :
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Les ports suivants doivent tre ouverts
pour permettre au CCM de grer des
processus SIA distants :
Microsoft Directory Services (port
TCP 445)
NetBIOS Session Service (port TCP
139)
NetBIOS DatagramService (port UDP
138)
NetBIOSName Service (port UDP137)
DNS (port TCP/UDP 53)
(Notez que certains ports mentionns
ci-dessus peuvent ne pas tre requis.
Consultez votre administrateur Win-
dows).
CMS
Server Intelligence Agent
Central Co-
nfiguration
Manager
(CCM)
plateforme
de Business
Intelligence
Port de requtes du Server Intellige-
nce Agent (6410 par dfaut)
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Tous les serveurs de la plate-
forme de BI y compris le CMS
Server Intelli-
gence Agent
(SIA
)
Plateforme
de BI
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
CMS
Input FRS
Outil de co-
nversion de
rapport
Plateforme
de BI
2012-05-10 189
Scurisation de la plateforme de BI
Spcifications requises pour le
port du serveur
Serveurs associs
Application
cliente
Produit
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
CMS
Input FRS
Output FRS
Repository
Diagnostic
Tool
Plateforme
de BI
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes pour chaque serveur
requis. Par exemple, le port de re-
qutes du serveur de traitement Crys-
tal Reports 2011
Tous les serveurs de la plate-
forme de BI requis par les
produits dploys.
Par exemple, la communica-
tion avec le port de requtes
du serveur de traitement Cry-
stal Reports 2011 est requis
si le SDK extrait des rapports
Crystal du CMS et interagit
avec eux.
SDK de la
plateforme
de BI hber-
g dans le
serveur d'ap-
plications
Web
Plateforme
de BI
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes pour chaque serveur
requis. Par exemple, les ports de re-
qute de Dashboards Cache Server et
de serveur de traitement Dashboards.
Tous les serveurs de la plate-
forme de BI requis par les
produits accdant aux ser-
vices Web.
Par exemple, la communica-
tion avec les ports de re-
qutes de Cache Server et de
serveur de traitement Dash-
boards est requise si SAP
BusinessObjects Dashboards
accde aux connexions de
sources de donnes Enter-
prise par le biais du fournis-
seur de services Web.
Fournisseur
de services
Web (dsws
bobje.war)
Plateforme
de BI
2012-05-10 190
Scurisation de la plateforme de BI
Spcifications requises pour le
port du serveur
Serveurs associs
Application
cliente
Produit
Port de serveur de noms du CMS
(6400 par dfaut)
Port de requtes du CMS
Port de requtes du serveur de traite-
ment adaptatif
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
CMS
Serveur de traitement adapta-
tif hbergeant le service
d'analyse multidimensionnelle
Input FRS
Output FRS
SAPBusine-
ssObjects
Analysis,
dition pour
OLAP
Plateforme
de BI
7.14.2.2.2 Ports requis pour les applications tierces
Ce tableau rpertorie les logiciels tiers utiliss par les produits SAP Business Objects. Il contient des
exemples spcifiques de certains distributeurs de logiciels, mais les spcifications de port diffrent d'un
distributeur l'autre.
Description
Spcifications de port
requises pour l'applica-
tion tierce
Composant SAP Bu-
siness Objects utili-
sant le produit
tiers
Application
tierce
Le CMS est le seul serveur qui
communique avec la base de
donnes systme du CMS.
Port d'coute du serveur
de base de donnes
Central Management
Server (CMS)
Base de don-
nes systme
du CMS
Le CMS est le seul serveur qui
communique avec la base de
donnes d'audit du CMS.
Port d'coute du serveur
de base de donnes
Central Management
Server (CMS)
Base de don-
nes d'audit du
CMS
Ces serveurs extraient les in-
formations de la base de don-
nes de reporting.
Port d'coute du serveur
de base de donnes
Connection Server
Chaque processus
enfant du Job Server
Chaque serveur de
traitement
Base de don-
nes de reporti-
ng
2012-05-10 191
Scurisation de la plateforme de BI
Description
Spcifications de port
requises pour l'applica-
tion tierce
Composant SAP Bu-
siness Objects utili-
sant le produit
tiers
Application
tierce
Le port HTTPS n'est requis
qu'en cas d'utilisation d'une
communication HTTP scuri-
se.
Port HTTPet port HTTPS.
Par exemple, sur Tomcat,
le port HTTP par dfaut
est le 8080 et le port
HTTPS le 443.
Tous les services
Web et applications
Web SAP Business
Objects comprenant
la zone de lancement
BI et la CMC
Serveurs d'ap-
plications Web
Les Job Servers utilisent les
ports FTP pour autoriser l'en-
voi vers FTP (send to FTP).
FTP In (port 21)
FTP Out (port 22)
Chaque Job Server Serveur FTP
Les Job Servers utilisent les
ports SMTP pour autoriser
l'envoi vers la messagerie
(send to email).
SMTP (port 25) Chaque Job Server
Serveur de me-
ssagerie
(UNIX uniquement) Les Job
Servers utilisent ces ports
pour autoriser l'envoi vers le
disque (send to disk).
rexec out (port 512)
(UNIX uniquement) rsh
out (port 514)
Chaque Job Server
Serveurs UNIX
auxquels les
Job Servers
peuvent en-
voyer du conte-
nu
Les rfrences de connexion
utilisateur sont stockes sur le
serveur d'authentification tiers.
Le CMS, le SDK et les clients
lourds rpertoris ici doivent
communiquer avec le serveur
d'authentification tiers lors-
qu'un utilisateur se connecte.
Port de connexion pour
l'authentification tierce
Par exemple, le serveur
de connexion pour le ser-
veur LDAP Oracle est d-
fini par l'utilisateur dans le
fichier ldap.ora.
CMS
Serveur d'applicatio-
ns Web qui hberge
le SDK
Chaque client lourd,
comme Live Office.
Serveur d'authe-
ntification
7.15 Configuration de la plateforme de BI pour les pare-feu
2012-05-10 192
Scurisation de la plateforme de BI
Cette section explique de faon progressive comment configurer un systme de la plateforme de BI
de faon ce qu'il fonctionne dans un environnement quip d'un pare-feu.
7.15.1 Pour configurer le systme pour des pare-feu
1. Dterminez quels composants de la plateforme de BI doivent communiquer via un pare-feu.
2. Configurez le port de requtes de chaque serveur de la plateforme de BI devant communiquer via
un pare-feu.
3. Configurez une plage de ports pour les Job Server devant communiquer travers un pare-feu en
ajoutant les paramtres -requestJSChildPorts<port infrieur>-<port suprieur> et
-requestPort <port> la ligne de commande du serveur.
4. Configurez le pare-feu de faon permettre la communication avec les ports de requtes et la plage
de ports du Job Server sur les serveurs de la plateforme de BI configurs l'tape prcdente.
5. (Facultatif) Configurez le fichier hosts sur chaque ordinateur qui hberge un serveur de la plateforme
de BI devant communiquer via un pare-feu.
Rubriques associes
Communication entre les composants de la plateforme de BI
Configuration des numros de port
Prsentation des lignes de commande
Spcification des rgles de pare-feu
Configurer le fichier hosts pour les pare-feu qui utilisent NAT
7.15.1.1 Spcification des rgles de pare-feu
Vous devez configurer le pare-feu de faon permettre le trafic entre les diffrents composants de la
plateforme de BI. Pour en savoir plus sur la spcification de ces rgles, consultez la documentation de
votre pare-feu.
Spcifiez une rgle d'accs entrant pour chaque chemin de communication qui passe par le pare-feu.
Il se peut que vous n'ayez pas spcifier une rgle d'accs pour chaque serveur de la plateforme de
BI protg par un pare-feu.
Utilisez le numro de port indiqu dans la zone de texte Port du serveur. N'oubliez pas que chaque
serveur d'un mme ordinateur doit utiliser un numro de port unique. Certains serveurs Business Objects
utilisent plusieurs ports.
2012-05-10 193
Scurisation de la plateforme de BI
Remarque :
Si la plateforme de BI est dploye via des pare-feu utilisant NAT, chaque serveur sur chaque ordinateur
doit utiliser un numro de port de requtes unique. Autrement dit, aucun serveur d'un mme dploiement
ne peut partager le mme port de requtes.
Remarque :
Il n'est pas ncessaire de spcifier de rgles d'accs sortant. Les serveurs de la plateforme de BI
n'tablissent pas de communication pas avec le serveur d'applications Web ou avec les applications
client. Les serveurs de la plateforme de BI peuvent tablir la communication vers d'autres serveurs de
la plateforme de BI du mme cluster. Les dploiements avec des serveurs en cluster dans un
environnement dont la sortie est protge par pare-feu ne sont pas pris en charge.
Exemple :
Cet exemple montre les rgles d'accs entrant pour un pare-feu situ entre le serveur d'applications
Web et les serveurs de la plateforme de BI. Dans ce cas, vous devez ouvrir deux ports pour le CMS,
l'un pour l'Input FRS (File Repository Server) et l'autre pour l'Output FRS. Les numros de port de
requtes sont les numros de port spcifis dans la zone Port de la page de configuration de la CMC
du serveur.
Action Port
Ordinateur de
destination
Port Ordinateur source
Autoriser 6400 CMS
N'importe le-
quel
Serveurs d'applicatio-
ns Web
Autoriser
<Numro de port
de requtes>
CMS
N'importe le-
quel
Serveurs d'applicatio-
ns Web
Autoriser
<Numro de port
de requtes>
Input FRS
N'importe le-
quel
Serveurs d'applicatio-
ns Web
Autoriser
<Numro de port
de requtes>
Output FRS
N'importe le-
quel
Serveurs d'applicatio-
ns Web
Rejeter N'importe lequel CMS
N'importe le-
quel
N'importe lequel
Rejeter N'importe lequel
Autres serveurs
de plateforme
N'importe le-
quel
N'importe lequel
2012-05-10 194
Scurisation de la plateforme de BI
Rubriques associes
Communication entre les composants de la plateforme de BI
7.15.1.2 Configurer le fichier hosts pour les pare-feu qui utilisent NAT
Cette tape est requise uniquement si les serveurs de la plateforme de BI doivent communiquer
travers un pare-feu sur lequel est activ Network Address Translation (NAT). Cette tape permet aux
ordinateurs clients de mapper le nom d'hte d'un serveur sur une adresse IP accessible.
Remarque :
La plateforme de BI peut tre dploye sur des ordinateurs utilisant DNS (Domain Name System).
Dans ce cas, les noms d'hte de l'ordinateur serveur peuvent tre mapps sur une adresse IP accessible
sur le serveur DNS, au lieu de le faire dans le fichier hosts de chaque ordinateur.
Traduction d'adresses rseau (NAT)
Un pare-feu est dploy pour protger un rseau interne des accs non autoriss. Les pare-feu utilisant
NAT mapperont les adresses IP partir du rseau interne sur une adresse diffrente utilise par le
rseau externe. Cette traduction d'adresses amliore la scurit en masquant les adresses IP internes
du rseau externe.
Les composants de la plateforme de BI tels que les serveurs, les applications client lourd et le serveur
d'applications Web hbergeant le SDK de utilisent une rfrence de service pour contacter un serveur.
La rfrence de service contient le nomd'hte de l'ordinateur serveur. Ce nomd'hte doit tre accessible
partir de l'ordinateur du composant de la plateforme de BI. Cela signifie que le fichier hosts sur
l'ordinateur du composant doit mapper le nom d'hte du serveur sur l'adresse IP externe du serveur.
L'adresse IP externe du serveur est accessible du ct extrieur du pare-feu, tandis que l'adresse IP
interne ne l'est pas.
La procdure de configuration du fichier hosts est diffrente pour Windows et Unix.
7.15.1.2.1 Pour configurer le fichier htes sous Windows
1. Localisez tous les ordinateurs excutant un composant de la plateforme de BI qui doit communiquer
travers un pare-feu sur lequel Network Address Translation (NAT) est activ.
2. Sur chaque ordinateur localis l'tape prcdente, ouvrez le fichier hosts l'aide d'un diteur
de texte tel que Notepad. Le fichier hosts est situ dans \WINNT\system32\drivers\etc\ho
sts.
3. Suivez les instructions du fichier hosts pour ajouter une entre pour chaque ordinateur se trouvant
derrire le pare-feu qui excute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
2012-05-10 195
Scurisation de la plateforme de BI
7.15.1.2.2 Configuration du fichier hosts sous UNIX
Remarque :
Votre systme d'exploitation UNIX doit tre configur de faon consulter d'abord le fichier hosts
pour rsoudre les noms de domaine avant de consulter le DNS. Consultez votre documentation UNIX
pour plus de dtails.
1. Localisez tous les ordinateurs excutant un composant de la plateforme de BI qui doit communiquer
travers un pare-feu sur lequel Network Address Translation (NAT) est activ.
2. Ouvrez le fichier hosts l'aide d'un diteur tel que vi. Le fichier hosts est situ dans le rpertoire
\etc.
3. Suivez les instructions du fichier hosts pour ajouter une entre pour chaque ordinateur se trouvant
derrire le pare-feu qui excute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
7.15.2 Dbogage d'un dploiement quip d'un pare-feu
Si un ou plusieurs serveurs de la plateforme de BI ne fonctionnent pas lorsque votre pare-feu est activ
et cela mme lorsque les ports attendus sont ouverts sur le pare-feu, vous pouvez utiliser les journaux
d'vnements pour dterminer quels serveurs tentent d'couter sur quels ports ou quelles adresses
IP. Vous pouvez alors soit ouvrir ces ports sur votre pare-feu, soit utiliser la CMC (Central Management
Console) pour modifier les numros de port ou les adresses IP sur lesquels ces serveurs tentent
d'couter.
A chaque dmarrage d'un serveur de la plateforme de BI, celui-ci consigne les informations suivantes
dans le journal d'vnements pour chaque port de requte avec lequel il tente d'entrer en liaison.
"Serveur" - Nom du serveur et si son lancement a russi.
"Adresses publies" - Liste de combinaisons d'adresses IP et de ports enregistres dans le service
de noms que vont utiliser les autres serveurs pour communiquer avec ce serveur.
Si le serveur parvient tablir une liaison avec un port, le fichier journal affiche galement "Ecoute sur
les ports" (adresse IP et port sur lesquels coute le serveur). Si le serveur ne parvient pas tablir de
liaison avec le port, le fichier journal affiche "Echec de l'coute sur les ports" (adresse IP et port sur
lesquels le serveur tente d'couter et choue).
Au dmarrage d'un serveur Central Management Server, il consigne galement les informations
Adresses publies, Ecoute sur les ports et Echec de l'coute sur les ports pour le port du service des
noms associ au serveur.
Remarque :
Si le serveur est configur pour utiliser un port affect automatiquement ainsi qu'un nom d'hte ou une
adresse IP non valide, le journal d'vnements indique que le serveur a chou dans sa tentative
2012-05-10 196
Scurisation de la plateforme de BI
d'coute sur (nom d'hte ou adresse IP et port 0). Si un nom d'hte ou une adresse IP spcifi(e)
n'est pas valide, le serveur choue avant que le systme d'exploitation hte ne lui attribue de port.
Exemple :
L'exemple suivant indique l'entre d'un Central Management Server qui coute avec succs sur deux
ports de requtes et un port du service de noms.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400
7.15.2.1 Dbogage d'un dploiement quip d'un pare-feu
1. Lisez le journal d'vnements pour dterminer si le serveur russit tablir la liaison avec le port
que vous avez spcifi.
Si le serveur n'a pas pu tablir de liaison avec un port, il y a probablement conflit de port entre le
serveur et un autre processus en cours d'excution sur la mme machine. L'entre "Echec de
l'coute sur" indique le port sur lequel porte la tentative d'coute du serveur. Excutez un utilitaire
de type netstat pour dterminer le processus suivi par le port, puis configurez soit l'autre processus,
soit un autre port d'coute pour le serveur.
2. Si le serveur a russi tablir une liaison avec un port, l'entre "Ecoute sur" indique le port sur
lequel le serveur coute. Si un serveur coute un port et ne fonctionne toujours pas correctement,
vrifiez que ce port est ouvert dans le pare-feu ou configurez le serveur de manire ce qu'il coute
sur un port ouvert.
Remarque :
Si tous les Central Management Servers de votre dploiement tentent d'couter sur des ports ou des
adresses IP indisponibles, les CMS ne dmarrent pas et vous ne pouvez pas vous connecter la CMC.
Si vous souhaitez modifier le numro de port ou l'adresse IP sur lesquels le CMS tente d'couter, vous
devez utiliser le Central Configuration Manager (CCM) pour spcifier un numro de port ou une adresse
IP valide.
Rubriques associes
Configuration des numros de port
7.16 Exemples de scnarios classiques de pare-feu
2012-05-10 197
Scurisation de la plateforme de BI
Cette section fournit des exemples de scnarios de dploiement de pare-feu classiques.
7.16.1 Exemple - Niveau application dploy sur un rseau distinct
Cet exemple explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un dploiement o le pare-feu spare le serveur d'applications Web des
autres serveurs de la plateforme de BI.
Dans cet exemple, les composants de la plateforme de BI sont dploys sur les ordinateurs suivants :
L'ordinateur boe_1 hberge le serveur d'applications Web et le SDK.
L'ordinateur boe_2 hberge les serveurs de niveau Intelligence, notamment le
Central Management Server, l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
L'ordinateur boe_3 hberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le Crystal Reports Cache
Server et le serveur de traitement Crystal Reports.
Figure 7-1 : Niveau application dploy sur un rseau distinct
7.16.1.1 Pour configurer un niveau application dploy sur un rseau distinct
Les tapes suivantes expliquent comment configurer cet exemple.
1. Cette configuration s'applique l'exemple suivant :
Le serveur d'applications Web qui hberge le SDK doit pouvoir communiquer avec le CMS sur
ses deux ports.
2012-05-10 198
Scurisation de la plateforme de BI
Le serveur d'applications Web qui hberge le SDK doit pouvoir communiquer avec chaque
serveur de la plateforme de BI.
Le navigateur doit pouvoir accder au port de requtes HTTP ou HTTPS sur le serveur
d'applications Web.
2. Le serveur d'applications Web doit pouvoir communiquer avec tous les serveurs sur les ordinateurs
boe_2 et boe_3. Configurez les numros de port de chaque serveur sur ces ordinateurs. Notez
que vous pouvez utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numros de port choisis pour cet exemple sont indiqus dans le tableau ci-dessous.
Numro de port Serveur
6400 Central Management Server
6411 Central Management Server
6415 Input File Repository Server
6420 Output File Repository Server
6425 Event Server
6435 Adaptative Job Server
6440 Crystal Reports Cache Server
6460 Web Intelligence Processing Server
6465 Report Application Server
6470 Crystal Reports Processing Server
3. Configurez les pare-feu Pare-feu_1 et Pare-feu_2 de faon permettre la communication avec
les ports fixes des serveurs et du serveur d'applications Web que vous avez configur l'tape
prcdente.
Dans cet exemple, nous ouvrons le port HTTP pour le serveur d'applications Tomcat.
Tableau 7-6 : Configuration de Pare-feu_1
Action Port
Ordinateur de destina-
tion
Port
Autoriser 8080 boe_1 N'importe lequel
Configuration de Pare-feu_2
2012-05-10 199
Scurisation de la plateforme de BI
Action Port
Ordinateur de de-
stination
Port
Ordinateur
source
Autoriser 6400 boe_2 N'importe lequel boe_1
Autoriser 6411 boe_2 N'importe lequel boe_1
Autoriser 6415 boe_2 N'importe lequel boe_1
Autoriser 6420 boe_2 N'importe lequel boe_1
Autoriser 6425 boe_2 N'importe lequel boe_1
Autoriser 6435 boe_3 N'importe lequel boe_1
Autoriser 6440 boe_3 N'importe lequel boe_1
Autoriser 6460 boe_3 N'importe lequel boe_1
Autoriser 6465 boe_3 N'importe lequel boe_1
Autoriser 6470 boe_3 N'importe lequel boe_1
4. Ce pare-feu n'tant pas configur NAT, il n'est pas ncessaire de configurer le fichier hosts.
Rubriques associes
Configuration des numros de port
Description de la communication entre les composants de la plateforme de BI
7.16.2 Exemple : Client lourd et niveau base de donnes spars des serveurs de la
plateforme de BI par un pare-feu
Cet exemple montre comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scnario de dploiement dans lequel :
un pare-feu spare un client lourd des serveurs de la plateforme de BI ;
un pare-feu spare les serveurs de la plateforme de BI du niveau base de donnes.
Dans cet exemple, les composants de la plateforme de BI sont dploys sur les ordinateurs suivants :
L'ordinateur boe_1 hberge l'Assistant de publication. L'Assistant de publication est un client lourd
de la plateforme de BI.
L'ordinateur boe_2 hberge les serveurs de niveau Intelligence, notamment le CMS
(Central Management Server), l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
2012-05-10 200
Scurisation de la plateforme de BI
L'ordinateur boe_3 hberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le serveur de traitement
Crystal Reports et le Crystal Reports Cache Server.
L'ordinateur Bases de donnes hberge les bases de donnes d'audit et systme du CMS, ainsi
que la base de donnes de reporting. Notez que vous avez la possibilit de dployer les deux bases
de donnes sur le mme serveur de base de donnes ou de dployer chaque base de donnes sur
son propre serveur de base de donnes. Dans cet exemple, toutes les bases de donnes du CMS
et la base de donnes de reporting sont dployes sur le mme serveur de base de donnes. Le
port d'coute du serveur de base de donnes est le 3 306, qui correspond au port d'coute par
dfaut du serveur MySQL.
Figure 7-2 : Rich Client et niveau base de donnes dploys sur des rseaux distincts
7.16.2.1 Pour configurer des niveaux spars des serveurs de la plateforme de
BI par un pare-feu
Les tapes suivantes expliquent comment configurer cet exemple.
1. Appliquez la configuration suivante cet exemple :
L'Assistant de publication doit pouvoir tablir la communication avec le CMS sur ses deux ports.
L'Assistant de publication doit pouvoir tablir la communication avec l'Input File Repository Server
et l'Output File Repository Server.
Connection Server, tous les processus enfant du Job Server et tous les serveurs de traitement
doivent avoir accs au port d'coute sur le serveur de base de donnes de reporting.
Le CMS doit pouvoir accder au port d'coute de la base de donnes sur le serveur de base de
donnes du CMS.
2. Configurez un port spcifique pour le CMS, l'Input FRS et l'Output FRS. Notez que vous pouvez
utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numros de port choisis pour cet exemple sont indiqus dans le tableau ci-dessous.
2012-05-10 201
Scurisation de la plateforme de BI
Numro de port Serveur
6411 Central Management Server
6415 Input File Repository Server
6416 Output File Repository Server
3. Il n'est pas ncessaire de configurer une plage de ports pour les enfants du Job Server dans la
mesure o le pare-feu entre les Job Servers et les serveurs de base de donnes seront configurs
de faon permettre n'importe quel port d'tablir la communication.
4. Configurez Pare-feu_1 de faon permettre la communication avec les ports fixes des serveurs
de la plateforme configurs l'tape prcdente. Le port 6400 est le port de serveur de noms par
dfaut du CMS et n'a pas eu besoin d'tre configur explicitement l'tape prcdente.
Action Port
Ordinateur de destina-
tion
Port
Autoriser 6400 boe_2 N'importe lequel
Autoriser 6411 boe_2 N'importe lequel
Autoriser 6415 boe_2 N'importe lequel
Autoriser 6416 boe_2 N'importe lequel
Configurez Pare-feu_2 de faon permettre la communication avec le port d'coute du serveur
de base de donnes. Le CMS (sur boe_2) doit pouvoir accder la base de donnes systme et
d'audit du CMS et les Job Servers (sur boe_3) doivent pouvoir accder aux bases de donnes
systme et d'audit. Notez qu'il n'a pas t ncessaire de configurer une plage de ports pour les
processus enfants du Job Server, car leur communication avec le CMS n'est pas protge par un
pare-feu.
Action Port
Ordinateur de de-
stination
Port
Ordinateur
source
Autoriser 3306 Databases N'importe lequel boe_2
Autoriser 3306 Databases N'importe lequel boe_3
5. Ce pare-feu n'tant pas configur NAT, il n'est pas ncessaire de configurer le fichier hosts.
Rubriques associes
Description de la communication entre les composants de la plateforme de BI
Configuration de la plateforme de BI pour les pare-feu
2012-05-10 202
Scurisation de la plateforme de BI
7.17 Paramtres de pare-feu pour les environnements intgrs
Cette section dtaille les critres et paramtres de port spcifiques pour les dploiements de la plateforme
de BI s'intgrant aux environnements ERP suivants.
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
Parmi les composants de la plateforme de BI figurent les clients navigateur, les clients enrichis, les
serveurs et le SDK hberg sur le serveur d'applications Web. Les composants systme peuvent tre
installs sur plusieurs ordinateurs. Il est utile de comprendre les principes de base de la communication
entre la plateforme de BI et les composants ERP avant de configurer le systme en vue d'une utilisation
avec des pare-feu.
Ports requis pour les serveurs de la plateforme de BI
Vous trouverez ci-dessous la liste des ports requis pour chaque serveur de la plateforme de BI :
Spcifications requises pour le port du serveur
Port du serveur de noms du Central Management Server
Port de requtes du Central Management Server
Port de requtes de l'Input FRS
Port de requtes de l'Output FRS
Port de requtes du Report Application Server
Port de requtes du Crystal Reports Cache Server
Port de requtes du Page Server Crystal Reports
Port de requtes du serveur de traitement Crystal Reports
7.17.1 Instructions propres au pare-feu pour l'intgration SAP
Votre dploiement de la plateforme de BI doit observer les rgles de communication suivantes :
Le CMS doit tre en mesure d'tablir la communication avec le systme SAP via le port de passerelle
du systme SAP.
L'Adaptive Job Server et le serveur de traitement Crystal Reports (ainsi que les composants d'accs
aux donnes) doivent tre en mesure d'tablir la communication avec le systme SAP via le port
de passerelle du systme SAP.
2012-05-10 203
Scurisation de la plateforme de BI
Le composant Editeur BW doit tre en mesure d'tablir la communication avec le systme SAP via
le port de passerelle du systme SAP.
Les composants de la plateforme de BI dploys au niveau du portail SAP Enterprise (par exemple,
iViews et KMC) doivent tre en mesure d'tablir la communication avec les applications Web de la
plateforme de BI via les ports HTTP/HTTPS.
Le serveur d'applications Web doit tre en mesure d'tablir la communication au niveau du service
de passerelle du systme SAP.
Crystal Reports doit tre en mesure d'tablir la communication avec l'hte SAP via le port de
passerelle du systme SAP et le port de rpartiteur du systme SAP.
Le port de rception du service de passerelle SAP est celui spcifi lors de l'installation.
Remarque :
Si un composant requiert un routeur SAP pour se connecter un systme SAP, vous pouvez configurer
le composant l'aide de la chane de routeur SAP. Par exemple, lorsque vous configurez un systme
d'autorisation SAP pour importer des rles et des utilisateurs, la chane de routeur SAP peut remplacer
le nom du serveur d'applications. Cela garantit que le CMS communiquera avec le systme SAP par
le biais du routeur SAP.
Rubriques associes
Installation d'une passerelle SAP locale
7.17.1.1 Spcifications dtailles requises pour le port
Ports requis pour SAP
La plateforme de BI utilise le Connecteur Java SAP(SAPJCO) pour communiquer avec SAPNetWeaver
(ABAP). Vous devez configurer les ports suivants et vous assurer de leur disponibilit :
Port d'coute du service de passerelle SAP (par exemple, 3300).
Port d'coute du service de rpartiteur SAP (par exemple, 3200).
Le tableau suivant rpertorie les configurations de port spcifiques dont vous avez besoin.
2012-05-10 204
Scurisation de la plateforme de BI
Action Port
Ordinateur de destina-
tion Port
Ordinateur
source
Autoriser Port HTTP/HTTPS du service Web Serveur d'applications
Web de la plateforme
de BI
N'importe
lequel
SAP
Autoriser Port du serveur de noms du CMS CMS N'importe
lequel
SAP
Autoriser Port du CMS requis CMS N'importe
lequel
SAP
Autoriser Port du service de passerelle du sys-
tme SAP
SAP N'importe
lequel
Serveur d'ap-
plications
Web
Autoriser Port du service de passerelle du sys-
tme SAP
SAP N'importe
lequel
Central Mana-
gement Ser-
ver (CMS)
Autoriser Port du service de passerelle du sys-
tme SAP et port du rpartiteur du sy-
stme SAP
SAP N'importe
lequel
Crystal Re-
ports
7.17.2 Configuration du pare-feu pour l'intgration JD Edwards EnterpriseOne
Les dploiements de la plateforme de BI qui communiqueront avec le logiciel JD Edwards doivent tre
conformes ces rgles de communication gnrales :
Les applications Web de la Central Management Console doivent tre en mesure d'tablir la
communication avec JDEdwards EnterpriseOne par le biais du port JDENET et d'un port slectionn
de manire alatoire.
Crystal Reports avec le composant ct client Connectivit des donnes doit tre en mesure d'tablir
la communication avec JD Edwards EnterpriseOne par le biais du port JDNET. Pour l'extraction de
donnes, le ct JD Edwards EnterpriseOne doit tre en mesure de communiquer avec le pilote
via un port alatoire qui ne peut pas tre contrl.
Le CMS (Central Management Server) doit tre en mesure d'tablir la communication avec JD
Edwards EnterpriseOne par le biais du port JDENET et d'un port slectionn de manire alatoire.
Le numro du port JDENET se trouve dans le fichier de configuration du serveur d'applications JD
Edwards EnterpriseOne (JDE.INI) dans la section JDENET.
2012-05-10 205
Scurisation de la plateforme de BI
7.17.2.1 Ports requis pour les serveurs de la plateforme de BI
Spcifications requises pour le port du serveur Produit
Port du serveur de connexion de la plateforme de BI
plateforme SAP
BusinessObjects
Business Intellige-
nce
7.17.2.2 Exigences en matire de ports pour JD Edwards EnterpriseOne
Description Configuration de port Produit
Utilis pour la communication
tablie entre la plateforme de BI
et le serveur d'applications JD
Edwards EnterpriseOne.
Port JDENET et un port slectio-
nn de manire alatoire
JD Edwards EnterpriseOne
7.17.2.3 Configuration du serveur d'applications Web pour communiquer avec
JD Edwards
Cette section explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un scnario de dploiement dans lequel le pare-feu spare le serveur
d'applications Web des autres serveurs de la plateforme.
Pour obtenir des informations sur la configuration du pare-feu avec les clients et les serveurs de la
plateforme de BI, voir la section Configuration requise pour les ports de la plateforme de Business
Intelligence de ce guide. Outre la configuration standard des pare-feu, la communication avec les
serveurs JD Edwards rclame d'ouvrir des ports supplmentaires.
2012-05-10 206
Scurisation de la plateforme de BI
Tableau 7-14 : Pour JD Edwards EnterpriseOne Enterprise
Action Port
Ordinateur de destina-
tion
Port Ordinateur source
Autoriser N'importe lequel
JD Edwards Enterpri-
seOne
N'im-
porte
lequel
CMSavec fonction Connectivi-
t de la scurit pour JD Ed-
wards EnterpriseOne
Autoriser N'importe lequel
JD Edwards Enterpri-
seOne
N'im-
porte
lequel
Serveurs de la plateforme de
BI avec connectivit des don-
nes pour JD Edwards Enter-
priseOne
Autoriser N'importe lequel
JD Edwards Enterpri-
seOne
N'im-
porte
lequel
Crystal Reports avec connecti-
vit des donnes ct client
pour JD Edwards Enterpri-
seOne
Autoriser N'importe lequel
JD Edwards Enterpri-
seOne
N'im-
porte
lequel
Serveur d'applications Web
7.17.3 Instructions propres au pare-feu pour Oracle EBS
Votre dploiement de la plateforme de BI doit permettre aux composants suivants d'tablir la
communication avec le port d'coute de la base de donnes Oracle.
Composants Web de la plateforme de BI
CMS (particulirement le plug-in de scurit Oracle EBS)
Serveurs principaux de la plateforme de BI (particulirement le composant d'accs aux donnes
EBS)
Crystal Reports (particulirement le composant d'accs aux donnes EBS)
Remarque :
Dans tous les cas cits ci-dessus, la valeur par dfaut du port d'coute de la base de donnes Oracle
est 1521.
7.17.3.1 Spcifications dtailles requises pour le port
2012-05-10 207
Scurisation de la plateforme de BI
Outre la configuration de pare-feu standard pour la plateforme de BI, certains ports supplmentaires
doivent tre ouverts pour fonctionner dans un environnement Oracle EBS intgr :
Action Port
Ordinateur de destina-
tion
Port Ordinateur source
Autoriser
Port de base de
donnes Oracle
Oracle EBS
N'im-
porte
lequel
Serveur d'applications Web
Autoriser
Port de base de
donnes Oracle
Oracle EBS
Quelco
nque
CMSavec fonction Connectivi-
t de la scurit pour Oracle
EBS
Autoriser
Port de base de
donnes Oracle
Oracle EBS
N'im-
porte
lequel
Serveurs de la plateforme de
BI avec la fonction ct ser-
veur Connectivit de donnes
pour Oracle EBS
Autoriser
Port de base de
donnes Oracle
Oracle EBS
N'im-
porte
lequel
Crystal Reports avec la fonc-
tion ct client Connectivit de
donnes pour Oracle EBS
7.17.4 Configuration du pare-feu pour l'intgration PeopleSoft Enterprise
Les dploiements de la plateforme de BI qui communiqueront avec PeopleSoft Enterprise doivent tre
conformes aux rgles de communication gnrales suivantes :
Le CMS (Central Management Server) ayant le composant Connectivit de scurit doit tre en
mesure d'initier une communication avec le service Web PeopleSoft Query Access (QAS).
Les serveurs de la plateforme de BI ayant le composant Connectivit de donnes doivent tre en
mesure d'initier une communication avec le service Web PeopleSoft QAS.
Les rapports Crystal ayant le composant ct client Connectivit de donnes doivent tre en mesure
d'initier une communication avec le service Web PeopleSoft QAS.
La passerelle Enterprise Management (EPM) doit tre en mesure de communiquer avec le CMS et
Input File Repository Server.
La passerelle EPM doit tre en mesure de communiquer avec la base de donnes PeopleSoft via
une connexion ODBC.
Le numro de port du service Web doit tre celui spcifi dans le nomde domaine PeopleSoft Enterprise.
2012-05-10 208
Scurisation de la plateforme de BI
7.17.4.1 Ports requis pour les serveurs de la plateforme de BI
Spcifications requises pour le port du serveur Produit
Port du serveur de connexion de la plateforme de BI
Plateforme SAP
BusinessObjects
Business Intellige-
nce
7.17.4.2 Configuration de port requise pour PeopleSoft
Description Configuration de port Produit
Ce port est requis lors de l'utili-
sation de la connexion SOAP
pour PeopleSoft Enterprise for
PeopleTools 8.46 et versions
ultrieures
Port HTTP/HTTPS du service
Web
PeopleSoft Enterprise : People
Tools 8.46 ou version ultrieure
7.17.4.3 Configuration de la plateforme de BI et de PeopleSoft pour les pare-feu
Cette section explique comment configurer la plateforme de BI et PeopleSoft Enterprise afin qu'ils
puissent fonctionner ensemble dans un scnario de dploiement dans lequel le pare-feu spare le
serveur d'applications Web des autres serveurs de la plateforme de BI.
Pour une configuration de pare-feu avec serveurs et clients de la plateforme de BI, voir le Guide
d'administration de la plateforme SAP BusinessObjects Business Intelligence.
Outre la configuration des pare-feu avec la plateforme de BI, vous devrez procdez une configuration
supplmentaire.
2012-05-10 209
Scurisation de la plateforme de BI
Tableau 7-18 : For PeopleSoft Enterprise : PeopleTools 8.46 ou version ultrieure
Action Port
Ordinateur de destina-
tion
Port Ordinateur source
Autoriser
Port HTTP
/HTTPSdu service
Web PeopleSoft
PeopleSoft
N'im-
porte
lequel
CMSavec fonction Connectivi-
t de la scurit pour People-
Soft
Autoriser
Port HTTP
/HTTPSdu service
Web PeopleSoft
PeopleSoft
N'im-
porte
lequel
Serveurs de la plateforme de
BI avec la fonction Connectivi-
t de donnes pour People-
Soft
Autoriser
Port HTTP
/HTTPSdu service
Web PeopleSoft
PeopleSoft
N'im-
porte
lequel
Crystal Reports avec la fonc-
tion Connectivit de donnes
ct client pour PeopleSoft
Autoriser
Port du serveur de
nom CMS
CMS
N'im-
porte
lequel
Passerelle EPM
Autoriser
Port du CMS re-
quis
CMS
N'im-
porte
lequel
Passerelle EPM
Autoriser
Port de l'Input
FRS
Input File Repository
Server
N'im-
porte
lequel
Passerelle EPM
Autoriser
Port de la base de
donnes People-
Soft
PeopleSoft
N'im-
porte
lequel
Passerelle EPM
7.17.5 Configuration du pare-feu pour l'intgration Siebel
Cette section prsente les ports spcifiques utiliss pour la communication entre les systmes de la
plateforme de BI et de l'application Siebel eBusiness lorsqu'ils sont spars par des pare-feu.
L'application Web doit tre en mesure d'initier une communication avec le serveur de connexion
pour Siebel de la plateforme de BI. Le serveur de connexion BusinessObjects Enterprise pour Siebel
requiert trois ports :
1. Le port Echo (TCP) 7 qui vrifie l'accs au serveur de connexion.
2. Le port du serveur de connexion de la plateforme de BI pour Siebel (8448 par dfaut) qui sert
de port d'coute CORBA IOR.
2012-05-10 210
Scurisation de la plateforme de BI
3. Un port POA alatoire de communication CORBA qui ne peut pas tre contrl, donc tous les
ports doivent tre ouverts.
Le CMS doit tre en mesure d'initier une communication avec le serveur de connexion de la
plateforme de BI pour Siebel. Un port d'coute CORBA IOR configur pour chaque serveur de
connexion (par exemple 8448). Vous devrez galement ouvrir un numro de port POA alatoire qui
ne sera pas connu tant que vous n'aurez pas install la plateforme de BI.
Le serveur de connexion de la plateforme de BI pour Siebel doit tre en mesure d'tablir la
communication avec le port SCBroker (Siebel connection broker), par exemple 2321.
Les serveurs backend de la plateforme de BI (composant Siebel Data Access) doivent tre en
mesure d'tablir la communication avec le port SCBroker (Siebel connection broker), par exemple
2321.
Crystal Reports (composant Siebel Data Access) doit tre en mesure d'tablir la communication
avec le port SCBroker (Siebel connection broker), par exemple 2321.
Description dtaille des ports
Cette section rpertorie les ports utiliss par la plateforme de BI. Si vous dployez la plateforme de BI
avec des pare-feu, ces informations vous permettront d'ouvrir le nombre minimal de ports requis dans
ces pare-feu spcifiquement pour l'intgration Siebel.
Tableau 7-19 : Port requis pour les serveurs de la plateforme de BI
Spcifications requises pour le port du serveur Produit
Port du serveur de connexion de la plateforme de BI
Plateforme de Business Intelli-
gence
Tableau 7-20 : Port requis pour Siebel
Description
Configuration de
port
Produit
Port SCBroker (service Broker pour les connexions
Siebel) par dfaut
2321
Application Siebel eBu-
siness
Configuration des pare-feu de la plateforme de BI pour l'intgration Siebel
Cette section explique comment configurer un pare-feu pour Siebel et la plateforme de BI afin qu'ils
puissent fonctionner ensemble dans un scnario de dploiement dans lequel le pare-feu spare le
serveur d'applications Web des autres serveurs de la plateforme.
Action Port Ordinateur de destination Port Ordinateur source
Autori
ser
N'importe le-
quel
Serveur de connexion de la plate-
forme de BI pour Siebel
N'im-
porte
lequel
Serveur d'applications Web
2012-05-10 211
Scurisation de la plateforme de BI
Action Port Ordinateur de destination Port Ordinateur source
Autori
ser
N'importe le-
quel
Serveur de connexion de la plate-
forme de BI pour Siebel
N'im-
porte
lequel
CMS
Autori
ser
Port SCBro-
ker
Siebel
N'im-
porte
lequel
Serveur de connexion de la
plateforme de BI pour Sie-
bel
Autori
ser
Port SCBro-
ker
Siebel
N'im-
porte
lequel
Serveurs de la plateforme
de BI avec connectivit de
donnes ct serveur pour
Siebel
Autori
ser
Port SCBro-
ker
Siebel
N'im-
porte
lequel
Crystal Reports avec conne-
ctivit de donnes ct
client pour Siebel
7.18 Plateforme de Business Intelligence et serveurs proxy inverses
La plateforme de BI peut tre dploye dans un environnement comportant un ou plusieurs serveurs
proxy inverses. Les serveurs proxy inverses sont gnralement dploys devant les serveurs
d'applications Web afin de les masquer derrire une adresse IP unique. Cette configuration permet
d'acheminer tout le trafic Internet adress aux serveurs d'applications Web privs via le serveur proxy
inverse, masquant ainsi les adresses IP prives.
Dans la mesure o le serveur proxy inverse traduit les URL publiques en URL internes, il doit tre
configur avec les URL des applications Web de la plateforme de BI dployes sur le rseau interne.
7.18.1 Serveurs proxy inverses pris en charge
La plateforme de BI prend en charge les serveurs proxy inverses suivants :
IBM Tivoli Access Manager WebSEAL 6
Apache 2.2
Microsoft ISA 2006
2012-05-10 212
Scurisation de la plateforme de BI
7.18.2 Description du dploiement des applications Web
Les applications Web de la plateforme de BI sont dployes sur un serveur d'applications Web. Les
applications sont dployes automatiquement durant l'installation par le biais de l'outil Wdeploy. L'outil
peut galement tre utilis pour dployer manuellement les applications aprs le dploiement de la
plateforme de BI. Les applications Web se trouvent dans le rpertoire suivant dans une installation
Windows par dfaut :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps
Wdeploy est utilis pour dployer deux fichiers WAR spcifiques :
BOE : inclut la CMC (Central Management Console), la zone de lancement BI et OpenDocument ;
dswsbobje : contient l'application Web Service.
Si le serveur d'applications Web se trouve derrire un serveur proxy inverse, ce dernier doit tre configur
avec les chemins de contexte des fichiers WAR corrects. Pour exposer toutes les fonctionnalits de la
plateforme de BI, configurez un chemin de contexte pour chaque fichier WAR de la plateforme de BI
dploy.
7.19 Configuration des serveurs proxy inverses pour les applications Web de la
plateforme de Business Intelligence
Le serveur proxy inverse doit tre configur de faon mapper les demandes d'URL entrantes
l'application Web correcte dans les dploiements dans lesquels les applications Web de la plateforme
de BI se trouvent derrire un serveur proxy inverse.
Cette section contient des exemples de configuration spcifiques s'appliquant certains serveurs proxy
inverses pris en charge. Pour en savoir plus, voir la documentation fournie avec le serveur proxy inverse.
7.19.1 Instructions dtailles relatives la configuration des serveurs proxy inverses
Configurer les fichiers WAR
Les applications Web de la plateforme de BI sont dployes sous forme de fichiers WAR situs sur un
serveur d'applications Web. Veillez configurer une directive sur le serveur proxy inverse pour le fichier
WAR requis par le dploiement. Vous pouvez utiliser WDeploy pour dployer les fichiers WAR BOE ou
2012-05-10 213
Scurisation de la plateforme de BI
dswbobje. Pour en savoir plus sur WDeploy, voir le Guide de dploiement d'applications Web de la
plateforme de BI.
Spcifier les proprits BOE dans le rpertoire de configuration
Les fichiers BOE.war contiennent les proprits gnrales et propres l'application. Si vous devez
modifier des proprits, utilisez le rpertoire de configuration personnalise. Par dfaut, le rpertoire
se trouve l'emplacement C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Remarque :
Pour viter d'craser les fichiers du rpertoire par dfaut, ne modifiez pas les proprits dans le
rpertoire config\default. Utilisez plutt le rpertoire custom.
Sur certains serveurs d'applications Web comme la version Tomcat fournie avec la plateforme de
BI, vous pouvez accder directement au fichier BOE.war. Dans ce scnario, vous pouvez dfinir
les paramtres personnaliss sans annuler le dploiement du fichier WAR. Lorsque vous ne pouvez
pas accder au fichier BOE.war, vous devez annuler le dploiement, personnaliser, puis redployer
le fichier.
Utilisation cohrente du caractre barre oblique (/)
Dfinissez les chemins de contexte dans le serveur proxy inverse de la mme faon que dans une
URL de navigateur. Par exemple, si la directive contient un caractre barre oblique (/) la fin du chemin
miroir sur le serveur du proxy inverse, saisissez le caractre / la fin de l'URL du navigateur.
Utilisez une barre oblique (/) de manire cohrente dans l'URL source et l'URL de destination dans la
directive du serveur du proxy inverse. Si une barre oblique (/) est ajoute la fin de l'URL source, il
doit tre plac au mme endroit dans l'URL de destination.
7.19.2 Pour configurer le serveur proxy inverse
Les tapes indiques ci-dessous sont requises pour que les applications Web de la plateforme de BI
fonctionnent derrire un serveur proxy inverse pris en charge.
1. Assurez-vous que le serveur proxy inverse est correctement install, selon les instructions du
fournisseur et la topologie rseau du dploiement.
2. Indiquez quel fichier WAR de la plateforme de BI est ncessaire.
3. Configurez le serveur proxy inverse pour chaque fichier WAR de la plateforme de BI. Notez que les
rgles sont spcifies diffremment sur chaque type de serveur proxy inverse.
4. Effectuez les ventuelles configurations spciales requises. Certaines applications Web requirent
une configuration spciale lorsqu'elles sont dployes sur certains serveurs d'applications Web.
2012-05-10 214
Scurisation de la plateforme de BI
7.19.3 Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de
BI :
Cette section fournit un workflow permettant de configurer la plateforme de BI et Apache 2.2 afin qu'ils
puissent fonctionner ensemble.
1. Assurez-vous que la plateforme de BI et Apache 2.2 sont installs sur des ordinateurs distincts.
2. Assurez-vous qu'Apache 2.2 est install et configur en tant que serveur proxy inverse, tel que
dcrit dans la documentation du fournisseur.
3. Configurez le ProxyPass pour chaque fichier WAR dploy derrire le serveur proxy inverse.
4. Configurez le ProxyPassReverseCookiePath pour chaque application Web dploye derrire
le serveur proxy inverse. Par exemple :
ProxyPass /C1/BOE/ http://<appservername>:80/BOE/
ProxyPassReverseCookiePath / /C1/BOE
ProxyPassReverse /C1/BOE/ http://<appservername>:80/BOE/
ProxyPass /C1/explorer/ http://<appservername>:80/explorer/
ProxyPassReverseCookiePath / /C1/explorer
ProxyPassReverse /C1/explorer/ http://<appservername>:80/explorer/
7.19.4 Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de
BI :
Cette section explique comment configurer la plateforme de BI et WebSEAL 6.0 afin qu'ils puissent
fonctionner ensemble.
La mthode de configuration recommande consiste crer une jonction standard unique qui mappe
toutes les applications Web de la plateforme de BI hberges sur un serveur d'applications Web interne
ou un serveur Web un point de montage unique.
1. Assurez-vous que la plateforme de BI et WebSEAL 6.0 sont installs sur des ordinateurs distincts.
Il est possible mais dconseill de dployer la plateforme de BI et WebSEAL 6.0 sur le mme
ordinateur. Pour obtenir les instructions de configuration de ce scnario de dploiement, consultez
la documentation fournie avec WebSEAL 6.0.
2. Assurez-vous que WebSEAL 6.0 est install et configur conformment la documentation du
fournisseur.
3. Lancez l'utilitaire de ligne de commande pdadmin de WebSeal. Connectez-vous un domaine
scuris tel que sec_master en tant qu'utilisateur dot des droits d'administration.
4. A l'invite de commande pdadmin sec_master, saisissez la commande suivante :
server task <instance_name-webseald-host_name>create -t
<type> -h <host_name> -p <port> <junction_point>
2012-05-10 215
Scurisation de la plateforme de BI
O :
<nom_instance-nom_hte-webseald> dsigne le nom de serveur complet de l'instance
WebSEAL installe. Utilisez le mme format pour ce nom de serveur complet que celui affich
dans la sortie de la commande server list.
<type> dsigne le type de jonction. Utilisez tcp si la jonction mappe un port HTTP interne.
Utilisez ssl si la jonction mappe un port HTTPS interne.
<nom_hte> dsigne le nom d'hte DNS ou l'adresse IP du serveur interne qui reoit les
demandes.
<port> dsigne le port TCP du serveur interne qui reoit les demandes.
<point_jointure> dsigne le rpertoire de l'espace d'objets protg WebSEAL dans lequel
l'espace de documents du serveur interne est mont.
Exemple :
server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
7.19.5 Pour configurer Microsoft ISA 2006 pour la plateforme de Business Intelligence
Cette section explique comment configurer la plateforme de BI et ISA2006 afin qu'ils puissent fonctionner
ensemble.
La mthode de configuration recommande consiste crer une jonction standard unique qui mappe
tous les fichiers WAR de la plateforme de BI hbergs sur un serveur d'applications Web interne ou
un serveur Web un point de montage unique. Selon votre serveur d'applications Web, vous devez
procder des configurations supplmentaires sur le serveur d'applications pour qu'il fonctionne avec
ISA 2006.
1. Assurez-vous que la plateforme de BI et ISA 2006 sont installs sur des ordinateurs distincts.
Il est possible mais dconseill de dployer la plateforme de BI et ISA 2006 sur le mme ordinateur.
Pour obtenir les instructions de configuration de ce scnario de dploiement, consultez la
documentation fournie avec ISA 2006.
2. Assurez-vous qu'ISA 2006 est install et configur selon la documentation du fournisseur.
3. Lancer l'utilitaire Gestion ISA Server.
4. Utilisez le panneau de navigation pour lancer une nouvelle rgle de publication
a. Accdez
Arrays > MachineName > Firewall Policy > New > Web Site Publishing Rule (Tableaux >
NomOrdinateur > Stratgie de pare-feu> Nouvelle > Rgle de publication Web)
Rappel :
Remplacez MachineName (nom de l'ordinateur) par le nom de l'ordinateur sur lequel est install
ISA 2006.
2012-05-10 216
Scurisation de la plateforme de BI
b. Saisissez un nom de rgle dans Nom de la rgle de publication Web et cliquez sur Suivant.
c. Slectionnez Autoriser comme action de rgle et cliquez sur Suivant.
d. Slectionnez Publier un seul site Web ou un quilibreur de charge et cliquez sur Suivant.
e. Slectionnez un type de connexion entre le ISA Server et le site Web publi, puis cliquez sur
Suivant.
Par exemple, slectionnez Utiliser une connexion non scurise pour la connexion au
serveur Web publi ou la batterie de serveurs.
f. Saisissez le nom interne du site Web que vous publiez (par exemple, le nom de l'ordinateur
hbergeant la plateforme de BI) dans Nom du site interne et cliquez sur Suivant.
Remarque :
Si l'ordinateur hbergeant ISA 2006 ne peut pas se connecter au serveur cible, slectionnez
Utiliser un nom d'ordinateur ou une adresse IP pour tablir la connexion avec le serveur
publi et saisissez le nom ou l'adresse IP dans le champ prvu cet effet.
g. Dans "Informations sur les noms publics", slectionnez le nom de domaine (N'importe quel
nom de domaine, par exemple) et spcifiez toutes les informations de publication interne (/*,
par exemple). Cliquez sur Suivant.
Vous devez prsent crer un port d'coute Web pour surveiller les requtes Web entrantes.
5. Cliquez sur Nouveau pour lancer l'Assistant Nouveau port d'coute Web.
a. Saisissez un nom dans Nom du port d'coute Web et cliquez sur Suivant.
b. Slectionnez un type de connexion entre ISA Server et le site Web publi, puis cliquez sur
Suivant.
Par exemple, slectionnez Do not require SSL secured connections with clients (pas de
connexions SSL scurises obligatoires avec les client).
c. Dans la section "Adresses IP des ports d'coute", procdez aux slections suivantes et cliquez
sur Suivant.
Interne
Externe
Hte local
Tous les rseaux
ISA Server est prsent configur pour publier uniquement via HTTP.
d. Slectionnez une option "Paramtre d'authentification", cliquez sur Suivant, puis sur Terminer.
Le nouveau port d'coute est prsent configur pour la rgle de publication Web.
6. Cliquez sur Suivant dans "Ensembles d'utilisateurs", puis cliquez sur Terminer.
7. Cliquez sur Appliquer pour enregistrer tous les paramtres de la rgle de publication Web et
actualiser la configuration d'ISA 2006.
Vous devez maintenant actualiser les proprits de la rgle de publication Web pour mapper les
chemins d'accs des applications Web.
8. Dans le panneau de navigation, cliquez avec le bouton droit de la souris sur la stratgie de pare-feu
que vous avez configure et slectionnez Proprits.
9. Dans l'onglet "Chemins", cliquez sur Ajouter pour mapper les chemins d'accs aux applications
Web SAP BusinessObjects.
2012-05-10 217
Scurisation de la plateforme de BI
10. Dans l'onglet "Nom public", slectionnez Demande pour les sites Web suivants et cliquez sur
Ajouter.
11. Dans la bote de dialogue "Nom public", saisissez le nom de votre serveur ISA 2006 et cliquez sur
OK.
12. Cliquez sur Appliquer pour enregistrer tous les paramtres de la rgle de publication Web et
actualiser la configuration d'ISA 2006.
13. Vrifiez la connexion en accdant l'URL suivante :
http://<Nom d'hte ISA Server>:<numro du port d'coute>/<Chemin d'accs
externe de l'application>
Par exemple : http://myISAserver:80/Product/BOE/CMC
Remarque :
Vous devrez peut-tre actualiser plusieurs fois le navigateur.
Pour tre sr que vous pourrez vous connecter la CMC, vous devez modifier la stratgie HTTP de
la rgle que vous venez de crer. Cliquez avec le bouton droit de la souris sur la rgle que vous avez
cre dans l'utilitaire Gestion ISA Server, et slectionnez Configurer HTTP. Dslectionnez prsent
Vrifier la normalisation dans la zone "Protection des URL".
Pour accder distance la plateforme de BI, vous devez crer une rgle d'accs.
7.20 Configuration spciale de la plateforme de BI dans les dploiements de serveurs
proxy inverses
Afin de pouvoir fonctionner correctement dans les dploiements de serveurs proxy inverses, certains
produits de la plateforme de BI ncessitent une configuration supplmentaire. Cette section explique
comment effectuer cette configuration supplmentaire.
7.20.1 Activation du proxy inverse pour les services Web
Cette section dcrit les procdures requises pour activer les proxys inverses pour les services Web.
7.20.1.1 Pour activer le proxy inverse sur Tomcat 6
Pour activer le proxy inverse sur le serveur d'applications Web Tomcat, vous devez modifier le fichier
server.xml. Les modifications requises comprennent l'affectation du port d'coute du serveur proxy
2012-05-10 218
Scurisation de la plateforme de BI
inverse au paramtre proxyPort et l'ajout d'un nouvel attribut proxyName. Cette section explique la
procdure suivre.
1. Arrtez Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat.
Sous Windows, le fichier server.xml se trouve dans le dossier C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf
Sous UNIX, le fichier server.xml se trouve dans le dossier <RACINE_CATALINA>/conf. La
valeur par dfaut de <RACINE_CATALINA> est <REP_INSTALL>/sap_bobj/tomcat.
3. Recherchez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<!--
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'lment Connector en supprimant <!-- et -->.
5. Remplacez la valeur de proxyPort par le port d'coute du serveur proxy inverse.
6. Ajoutez un nouvel attribut proxyName la liste des attributs de Connector. La valeur de proxyName
doit tre le nom du serveur proxy dont Tomcat doit dterminer l'adresse IP correcte.
Exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
O my_reverse_proxy_server.domain.com et ReverseProxyServerPort doivent tre
respectivement remplacs par le nom du serveur proxy inverse et son port d'coute.
7. Enregistrez et fermez le fichier server.xml.
8. Redmarrez Tomcat.
9. Vrifiez que le chemin virtuel du serveur proxy inverse est mapp au port du connecteur Tomcat
adquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
L'exemple suivant prsente un exemple de configuration d'Apache HTTP Server 2.2 utilis pour
inverser le proxys des services Web SAP BusinessObjects dploys sur Tomcat :
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje
Pour activer les services Web, le nom de proxy et le numro de port doivent tre identifis pour le
connecteur.
2012-05-10 219
Scurisation de la plateforme de BI
7.20.1.2 Activation du proxy inverse pour les services Web sur des serveurs
d'applications Web autres que Tomcat
La procdure suivante ncessite de configurer correctement les applications Web de la plateforme de
BI en fonction du serveur d'applications Web choisi. Notez que les valeurs wsresources respectent
la casse.
1. Arrtez le serveur d'applications Web.
2. Indiquez l'URL externe des services Web dans le fichier dsws.properties.
Ce fichier se trouve dans l'application Web dswsbobje. Par exemple, si votre URL externe est
http://mon_serveur_proxy_inverse.domaine.com/dswsbobje/, mettez jour les
proprits dans le fichier dsws.properties :
wsresource1=ReportEngine|reportengine web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
wsresource2=BICatalog|bicatalog web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatatog
wsresource3=Publish|publish web service alone|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/Publish
wsresource4=QueryService|query web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
wsresource5=BIPlatform|BIPlatform web service|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/BIPlatform
wsresource6=LiveOffice|Live Office web service|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice
3. Enregistrez le fichier dsws.properties et fermez-le.
4. Redmarrez le serveur d'applications Web.
5. Vrifiez que le chemin virtuel du serveur proxy inverse est mapp au port de connecteur du serveur
d'applications Web adquat. L'exemple suivant illustre une configuration d'Apache HTTP Server 2.2
utilis pour inverser les proxys des services Web de la plateforme de BI dploys sur le serveur
d'applications Web de votre choix :
ProxyPass /SAP/dswsbobje http://internalServer:<port d'coute> /dswsbobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
O <port d'coute> correspond au port d'coute de votre serveur d'applications Web.
7.20.2 Activation du chemin racine des cookies de session pour ISA 2006
2012-05-10 220
Scurisation de la plateforme de BI
Cette section dcrit le mode de configuration des serveurs d'applications Web spcifiques pour activer
le chemin racine des cookies de session pour assurer la compatibilit avec ISA 2006 comme serveur
proxy inverse.
7.20.2.1 Pour configurer Apache Tomcat 6
Pour configurer le chemin racine de faon ce que les cookies de session fonctionnent avec ISA 2006
comme serveur proxy inverse, ajoutez la chane suivante l'lment <Connector> dans le fichier
server.xml :
emptySessionPath="true"
1. Arrtez Tomcat.
2. Ouvrez le fichier server.xml situ dans :
<CATALINA_HOME>\conf
3. Localisez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!--
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'lment Connector en supprimant <!-- et -->.
5. Pour configurer le chemin racine de faon ce que les cookies de session fonctionnent avec ISA2006
comme serveur proxy inverse, ajoutez la chane suivante l'lment <Connector> dans le fichier
server.xml :
emptySessionPath="true"
6. Remplacez la valeur de proxyPort par le port d'coute du serveur proxy inverse.
7. Ajoutez un nouvel attribut proxyName la liste des attributs de Connector. La valeur doit tre le
nom du serveur de proxy dont Tomcat doit dterminer l'adresse IP correcte.
Par exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
8. Enregistrez et fermez le fichier server.xml.
2012-05-10 221
Scurisation de la plateforme de BI
9. Redmarrez Tomcat.
Vrifiez que le chemin virtuel du serveur proxy inverse est mapp au port du connecteur Tomcat
adquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
7.20.2.2 Pour configurer Sun Java 8.2
Vous devez modifier le fichier sun-web.xml pour chaque application Web de la plateforme de BI.
1. Accdez <SUN_WEBAPP_DOMAIN>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2. Ouvrez le fichier sun-web.xml.
3. Aprs le conteneur <context-root>, ajoutez les chanes suivantes :
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
4. Enregistrez et fermez le fichier sun-web.xml.
5. Rptez les tapes de 1 4 pour chaque application Web.
7.20.2.3 Pour configurer Oracle Application Server 10gR3
Vous devez modifier le fichier global-web-application.xml ou orion-web.xml pour chaque
rpertoire de dploiement de l'application Web de la plateforme de BI.
1. Slectionnez <ORACLE_HOME>\j2ee\home\config\
2. Ouvrez le fichier global-web-application.xml ou orion-web.xml.
3. Ajoutez la ligne suivante au conteneur <orion-web-app> :
<session-tracking cookie-path="/" />
4. Enregistrez le fichier de configuration et fermez-le.
5. Connectez-vous Oracle Admin Console :
a. Slectionnez OC4J:home > Administration > Server Properties (Proprits du serveur).
b. Slectionnez Options sous "Command Line Options" (Options de ligne de commande).
c. Cliquez sur Add another Row (Ajouter une ligne) et saisissez la chane suivante :
Doracle.useSessionIDFromCookie=true
6. Redmarrez le serveur Oracle.
2012-05-10 222
Scurisation de la plateforme de BI
7.20.2.4 Pour configurer WebSphere Community Edition 2.0
1. Ouvrez WebSphere Community Edition 2.0 Admin Console.
2. Dans le panneau de navigation de gauche, recherchez "Server" (Serveur) et slectionnez Web
Server (Serveur Web).
3. Slectionnez les connecteurs et cliquez sur Modifier.
4. Slectionnez la case cocher emptySessionPath et cliquez sur Save (Enregistrer).
5. Saisissez le nom de votre serveur ISA dans ProxyName.
6. Saisissez le numro du port d'coute ISA dans ProxyPort.
7. Arrtez et redmarrez le connecteur.
7.20.3 Activation du proxy inverse pour SAP BusinessObjects Live Office
Pour activer la fonction Afficher l'objet dans le navigateur Web de SAP BusinessObjects Live Office
pour les proxys inverses, modifiez l'URL du visualiseur par dfaut. Pour ce faire, utilisez la Central
Management Console (CMC) ou les options de Live Office.
Remarque :
Cette section part du principe que vous avez activ des proxys inverses pour la zone de lancement BI
et que les services Web de la plateforme de BI ont t activs avec succs.
7.20.3.1 Modification de l'URL du visualiseur par dfaut dans la CMC
1. Connectez-vous la CMC
2. Dans la page "Applications", cliquez sur Central Management Console.
3. Slectionnez Actions > Paramtres de traitement.
4. Dans le champ URL, saisissez l'URL du visualiseur par dfaut et cliquez sur Dfinir l'URL.
Par exemple, tapez http://ServeurProxyInverse:PortServeurProxyInverse/BOE/OpenDocument.jsp?sID
Type=CUID&iDocID=%SI_CUID%, ServeurProxyInverse et PortServeurProxyInverse
tant respectivement le nom correct du serveur du proxy inverse et son port d'coute.
2012-05-10 223
Scurisation de la plateforme de BI
2012-05-10 224
Scurisation de la plateforme de BI
Authentification
8.1 Options d'authentification dans la plateforme de BI
L'authentification est un processus consistant vrifier l'identit d'un utilisateur qui tente d'accder au
systme, alors que la gestion des droits est un processus consistant vrifier que des droits suffisants
ont t octroys l'utilisateur pour excuter l'action demande sur l'objet spcifi.
Les plug-ins de scurit dveloppent et personnalisent la manire dont la plateforme de BI authentifie
les utilisateurs. Ils facilitent la cration et la gestion des comptes en permettant de mapper des comptes
et des groupes d'utilisateurs de systmes tiers dans la plateforme. Vous pouvez mapper des comptes
ou des groupes d'utilisateurs tiers des comptes ou des groupes d'utilisateurs de la plateforme de BI
existants, ou crer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent
chaque entre mappe dans le systme externe.
La version actuelle prend en charge les mthodes d'authentification suivantes :
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
La plateforme de BI tant entirement personnalisable, l'authentification et les processus peuvent varier
d'un systme l'autre.
Rubriques associes
Activation de l'authentification JD Edwards EnterpriseOne
Activation de l'authentification Oracle EBS
Activation de l'authentification PeopleSoft Enterprise
Activation de l'authentification Siebel
2012-05-10 225
Authentification
8.1.1 Authentification primaire
L'authentification primaire intervient lorsqu'un utilisateur tente d'accder pour la premire fois au systme.
Les deux choses suivantes peuvent l'une ou l'autre se produire pendant une authentification primaire :
Si la connexion unique n'est pas configure, l'utilisateur fournit ses rfrences de connexion, telles
que son nom d'utilisateur, son mot de passe et le type d'authentification.
Ces dtails sont saisis par les utilisateurs sur l'cran de connexion.
Si une mthode de connexion unique est configure, les rfrences de connexion des utilisateurs
sont transmises de manire silencieuse.
Ces dtails sont extraits en utilisant d'autres mthodes, telles que Kerberos ou SiteMinder.
Il peut s'agir de l'authentification Enterprise, LDAP Windows AD, SAP Oracle EBS, Siebel, JD
Edwards EntrepriseOne ou PeopleSoft Enterprise, selon le type d'authentification activ et configur
dans la zone de gestion Authentification de la CMC (Central Management Console). Le navigateur
Web de l'utilisateur envoie les informations vers votre serveur Web via le protocole HTTP, qui les
achemine son tour vers le CMS ou le serveur de la plateforme appropri.
Le serveur d'applications Web transmet les informations sur l'utilisateur via un script ct serveur. En
interne, ce script communique avec le SDK et, finalement, le plug-in de scurit appropri pour
authentifier l'utilisateur en fonction de la base de donnes utilisateur.
Par exemple, si l'utilisateur se connecte la zone de lancement BI et spcifie l'authentification Enterprise,
le SDK s'assure que le plug-in de scurit de la plateforme de BI procde l'authentification. Le CMS
(Central Management Server) utilise le plug-in de scurit pour vrifier le nom d'utilisateur et le mot de
passe en fonction de la base de donnes systme. De mme, si l'utilisateur spcifie une mthode
d'authentification, le SDK utilise le plug-in de scurit correspondant pour authentifier l'utilisateur.
Si le plug-in de scurit reconnat les rfrences de connexion, le CMS accorde l'utilisateur une
identit active sur le systme, et les actions suivantes sont effectues :
Le CMS cre une session Enterprise pour l'utilisateur. Une fois active, cette session ncessite une
licence utilisateur sur le systme.
Le CMS gnre et code un jeton de connexion qu'il envoie au serveur d'applications Web.
Le serveur d'applications Web stocke les informations de l'utilisateur en mmoire dans une variable
de session. Une fois active, cette session stocke les informations qui permettent la plateforme de
BI de rpondre aux requtes de l'utilisateur.
Remarque :
La variable de session ne contient pas le mot de passe de l'utilisateur.
Le serveur d'applications Web conserve le jeton de connexion dans un cookie sur le navigateur du
client. Ce cookie est uniquement utilis des fins de basculement, par exemple lorsque vous avez
un CMS en cluster ou lorsque la zone de lancement BI est mise en cluster pour l'affinit de la session.
2012-05-10 226
Authentification
Remarque :
Il est possible de dsactiver le jeton de connexion, toutefois, ce faisant, vous dsactivez galement
le basculement.
8.1.2 Plug-ins de scurit
Les plug-ins de scurit dveloppent et personnalisent la manire dont la plateforme de BI authentifie
les utilisateurs. La plateforme de BI comprend actuellement des plug-ins suivants :
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
Ils facilitent la cration et la gestion des comptes en permettant de mapper des comptes et des groupes
d'utilisateurs de systmes tiers sur la plateforme de BI. Vous pouvez mapper des comptes ou des
groupes d'utilisateurs tiers des comptes ou des groupes d'utilisateurs de la plateforme de BI existants,
ou crer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent chaque entre
mappe dans le systme externe.
Les plug-ins de scurit mettent dynamiquement jour les listes d'utilisateurs et de groupes tiers. Ainsi,
une fois que vous avez mapp un groupe externe sur la plateforme de BI, tous les utilisateurs appartenant
ce groupe peuvent se connecter avec succs la plateforme de BI. Lorsque vous apportez des
modifications ultrieures l'appartenance d'un groupe tiers, vous n'avez pas besoin d'actualiser la liste
sur la plateforme de BI. Par exemple, si vous mappez un groupe LDAP dans sur la plateforme de BI,
puis que vous ajoutez un nouvel utilisateur au groupe, le plug-in de scurit cre dynamiquement un
alias pour ce nouvel utilisateur lorsque ce dernier se connecte pour la premire fois la plateforme de
BI avec des rfrences de connexion LDAP valides.
Par ailleurs, les plug-ins de scurit vous permettent d'attribuer des droits aux utilisateurs et aux groupes
de manire cohrente, car les utilisateurs et les groupes mapps sont considrs comme des comptes
Enterprise. Par exemple, vous pouvez mapper des comptes et des groupes d'utilisateurs de Windows
AD, et des comptes et des groupes d'utilisateurs d'un serveur de rpertoires LDAP. Ensuite, lorsque
vous devrez attribuer des droits ou crer de nouveaux groupes personnaliss sur la plateforme de BI,
vous dfinirez tous vos paramtres dans la CMC.
Chaque plug-in de scurit se comporte comme un fournisseur d'authentifications qui vrifie les
rfrences de connexion de l'utilisateur par rapport la base de donnes utilisateur approprie. Lorsque
les utilisateurs se connectent la plateforme de BI, ils choisissent parmi les types d'authentification
disponibles que vous avez activs et configurs dans la zone de gestion Authentification de la CMC.
2012-05-10 227
Authentification
Remarque :
Le plug-in de scurit Windows ADne peut pas authentifier les utilisateurs si les composants du serveur
de la plateforme de BI sont excuts sous UNIX.
8.1.3 Connexion unique la plateforme de BI
La connexion unique la plateforme de BI signifie qu'une fois les utilisateurs connects au systme
d'exploitation, ils peuvent accder aux applications qui prennent en charge la connexion unique sans
avoir fournir de nouveau leurs rfrences de connexion. Lorsqu'un utilisateur se connecte, un contexte
de scurit est cr pour cet utilisateur. Ce contexte peut tre transmis la plateforme de BI pour
permettre une connexion unique ; l'utilisateur est ainsi connect en tant qu'utilisateur correspondant
l'utilisateur.
Le terme connexion unique anonyme dsigne galement la connexion unique la plateforme de BI,
mais il fait plus particulirement rfrence la fonction de connexion unique pour le compte utilisateur
Guest. Lorsque le compte utilisateur Guest est activ, ce qui est le cas par dfaut, n'importe qui peut
se connecter la plateforme de BI en tant que Guest et obtient ainsi l'accs au systme.
8.1.3.1 Prise en charge de la connexion unique
Le terme de connexion unique est utilis pour dcrire diffrents scnarios. Au sens le plus gnral, ce
terme fait rfrence une situation o l'utilisateur peut accder au moins deux applications ou
systmes tout en ne fournissant qu'une seule fois ses rfrences de connexion ; l'interaction entre le
systme et l'utilisateur est ainsi facilite.
La connexion unique la zone de lancement BI peut tre fournie par la plateforme de BI ou par diffrents
outils d'authentification en fonction du type de serveur d'applications et du systme d'exploitation.
Ces mthodes de connexion unique sont disponibles si vous utilisez un serveur d'applications Java
sous Windows :
Windows AD avec Kerberos
Windows AD avec SiteMinder
Ces mthodes de connexion unique sont disponibles si vous utilisez IIS sous Windows :
Windows AD avec Kerberos
Windows AD avec NTLM
Windows AD avec SiteMinder
Les mthodes de connexion unique suivantes sont disponibles sous Windows ou Unix, quel que soit
le serveur d'applications Web pris en charge par la plateforme.
2012-05-10 228
Authentification
LDAP avec SiteMinder
Authentification scurise
Windows AD avec Kerberos
LDAP via Kerberos sur SUSE 11
Remarque :
Windows AD avec Kerberos est pris en charge si l'application Java est sous UNIX. Cependant, les
services de la plateforme de BI doivent s'excuter sur un serveur Windows.
Le tableau suivant dcrit les mthodes de prise en charge de la connexion unique pour la zone de
lancement BI.
Remarques Options Serveur CMS
Mode
d'authen-
tification
L'authentification Windows AD pour la
zone de lancement BI et la CMC est prte
l'emploi.
Windows AD avec Kerberos
uniquement
Windows uni-
quement
Windows
AD
L'authentification LDAP pour la zone de
lancement BI et la CMC est prte l'em-
ploi. La connexion unique la zone de la-
ncement BI et la CMC requiert SiteMin-
der.
Serveurs de rpertoires LDAP
pris en charge, avec SiteMinder
uniquement
Toute plate-
forme prise en
charge
LDAP
L'authentification Entreprise pour la zone
de lancement BI et la CMC est prte
l'emploi. La connexion unique avec authe-
ntification Enterprise la zone de lance-
ment BI et la CMCrequiert l'authentifica-
tion scurise.
Authentification scurise
Toute plate-
forme prise en
charge
Enter-
prise
Connexion unique la plateforme de BI
Connexion unique une base de donnes
Connexion unique de bout en bout
8.1.3.2 Connexion unique une base de donnes
Une fois les utilisateurs connects la plateforme de BI, la connexion unique la base de donnes
leur permet d'effectuer des actions ncessitant un accs la base de donnes, en particulier, l'affichage
2012-05-10 229
Authentification
et l'actualisation de rapports, sans devoir fournir nouveau leurs rfrences de connexion. La connexion
unique la base de donnes peut tre combine avec une connexion unique la plateforme de BI
pour permettre aux utilisateurs d'accder encore plus facilement aux ressources dont ils ont besoin.
8.1.3.3 Connexion unique de bout en bout
La connexion unique de bout en bout fait rfrence une configuration dans laquelle les utilisateurs
disposent la fois de la connexion unique la plateforme de BI au niveau interface client et de la
connexion unique aux bases de donnes. Ainsi, les utilisateurs ne doivent fournir leurs rfrences de
connexion qu'une seule fois, lorsqu'ils se connectent au systme d'exploitation, pour accder la
plateforme de BI et effectuer des actions requrant un accs la base de donnes, telles que l'affichage
de rapports.
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermdiaire de
Windows AD et de Kerberos.
8.2 Authentification Enterprise
8.2.1 Prsentation de l'authentification Enterprise
L'authentification Enterprise est la mthode d'authentification par dfaut pour la plateforme de BI, elle
est automatiquement active lorsque vous installez le systme pour la premire fois, et ne peut pas
tre dsactive. Lorsque vous ajoutez et grez des utilisateurs et des groupes, la plateforme de BI
conserve des informations relatives l'utilisateur et au groupe au sein de sa base de donnes.
Conseil :
Utilisez l'authentification Enterprise (authentification systme par dfaut) si vous prfrez crer des
comptes et des groupes distincts utiliser avec la plateforme de BI ou si vous n'avez pas encore dfini
de hirarchie d'utilisateurs et de groupes dans un serveur de rpertoire tiers.
Vous n'avez pas configurer ni activer l'authentification Enterprise. Vous pouvez cependant modifier
les paramtres de l'authentification Enterprise pour rpondre aux besoins de scurit particuliers de
votre organisation. Les paramtres Enterprise ne peuvent tre modifis que via la CMC (Central
Management Console).
2012-05-10 230
Authentification
8.2.2 Paramtres d'authentification Enterprise
Description Option Paramtres
Cette option permet de s'assurer
que les mots de passe contiennent
au moins deux classes de carac-
tres parmi les suivantes : majus-
cules, minuscules, nombres ou
ponctuation.
Appliquer des mots de passe
casse mixte
Restrictions relatives aux mots
de passe
En exigeant une complexit mini-
male dans le choix d'un mot de
passe, vous rduisez les chances
qu'un utilisateur malveillant devine
le mot de passe valide d'un autre
utilisateur.
Doit comprendre N caractres
au minimum
Restrictions relatives aux mots
de passe
Cette option permet que les mots
de passe ne deviennent pas un
problme et qu'ils soient actualiss
rgulirement.
Doit changer de mot de passe
tous les N jours
Restrictions relatives aux utili-
sateurs
Cette option permet que les mots
de passe ne soient pas rpts par
habitude.
Les N derniers mots de passe
ne peuvent pas tre rutiliss
Restrictions relatives aux utili-
sateurs
Cette option permet que les nou-
veaux mots de passe ne puissent
pas tre modifis immdiatement
aprs leur saisie dans le systme.
Le mot de passe peut tre modi-
fi aprs N minute(s)
Restrictions relatives aux utili-
sateurs
Cette option de scurit spcifie le
nombre de tentatives de connexion
autorises pour un utilisateur avant
que son compte ne soit dsactiv.
Dsactiver le compte aprs
N checs de connexion
Restrictions relatives aux co-
nnexions
Cette option spcifie un intervalle
de temps avant la rinitialisation
du compteur de tentatives de co-
nnexion.
Rinitialiser le nombre d'checs
de connexion aprs Nminute(s)
Restrictions relatives aux co-
nnexions
2012-05-10 231
Authentification
Description Option Paramtres
Cette option spcifie la dure pour
laquelle un compte est suspendu
aprs N checs de tentative de
connexion.
Ractiver le compte aprs N mi-
nute(s)
Restrictions relatives aux co-
nnexions
Cette option active les rfrences
de connexion aux sources de don-
nes aprs que l'utilisateur se soit
connect.
Activer et mettre jour les rf-
rences de connexion la source
de donnes de l'utilisateur au
moment de la connexion
Synchroniser les rfrences
de connexion aux sources de
donnes avec la connexion.
Cette option active l'authentification
scurise.
L'authentification scurise est
active
Authentification scurise
Rubriques associes
Activation de l'authentification scurise
8.2.3 Modification des paramtres d'Enterprise
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La bote de dialogue "Enterprise" s'affiche.
3. Modifiez les paramtres.
Conseil :
Pour remplacer tous les paramtres par les valeurs par dfaut, cliquez sur Rinitialiser.
4. Cliquez sur Mettre jour pour enregistrer vos modifications.
8.2.3.1 Pour modifier les paramtres gnraux de mot de passe
Remarque :
Les comptes non utiliss pendant une longue priode ne sont pas dsactivs automatiquement. Les
administrateurs doivent supprimer manuellement les comptes inactifs.
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La bote de dialogue "Enterprise" s'affiche.
2012-05-10 232
Authentification
3. Cliquez dans la case cocher de chaque option de mot de passe utiliser et entrez une valeur si
ncessaire.
Valeur maximale recomma-
nde
Valeur minimale Option
Sans objet Sans objet
Appliquer des mots de passe
casse mixte
64 caractres 0 caractre
Doit comprendre N carac-
tres au minimum
100 jours 1 jour
Doit changer de mot de pa-
sse tous les N jours
100 mots de passe 1 mot de passe
Les N derniers mots de pa-
sse ne peuvent tre rutili-
ss
100 minutes 0 minute
Le mot de passe peut tre
modifi aprs N minute(s)
100 checs 1 chec
Dsactiver le compte aprs
N checs de connexion
100 minutes 1 minute
Rinitialiser le nombre
d'checs de connexionaprs
N minute(s)
100 minutes 0 minute
Ractiver le compte aprs
N minute(s)
4. Cliquez sur Mettre jour.
8.2.4 Activation de l'authentification scurise
L'authentification scurise d'Enterprise est utilise pour effectuer une connexion unique en s'appuyant
sur le serveur d'applications Web pour vrifier l'identit d'un utilisateur. Cette mthode d'authentification
2012-05-10 233
Authentification
implique l'tablissement d'une scurit entre le CMS (Central Management Server) et le serveur
d'applications Web hbergeant l'application Web de la plateforme de BI. Lorsque la scurit est tablie,
le systme abandonne la vrification de l'identit d'un utilisateur au serveur d'applications Web.
L'authentification scurise peut tre utilise pour prendre en charge des mthodes d'authentification
telles que SAML, x.509 et d'autres mthodes ne disposant pas d'un plug-in d'authentification propre.
Les utilisateurs prfrent se connecter une fois au systme et ne pas avoir entrer leurs mots de passe
plusieurs fois pendant une session. L'authentification scurise constitue une solution de connexion
unique Java pour intgrer la solution d'authentification de votre plateforme de BI aux solutions
d'authentification tierces. Les applications qui possdent une scurit tablie avec le Central Management
Server (CMS) peuvent utiliser l'authentification scurise pour permettre aux utilisateurs de se connecter
sans entrer leurs mots de passe.
Pour activer l'authentification scurise, vous devez configurer un secret partag sur le serveur via les
paramtres d'authentification d'Enterprise, alors que le client est configur via les proprits spcifies
pour le fichier WAR BOE.
Remarque :
Pour pouvoir utiliser l'authentification scurise, vous devez au pralable avoir cr des utilisateurs
Enterprise ou mapp les utilisateurs tiers que vous allez utiliser pour tablir la connexion la
plateforme de BI.
L'URL de connexion unique pour la zone de lancement est : http://serveur:port/BOE/BI.
Rubriques associes
Pour configurer le serveur de manire utiliser l'authentification scurise
Pour configurer l'authentification scurise pour l'application Web
8.2.4.1 Pour configurer le serveur de manire utiliser l'authentification
scurise
Pour utiliser l'authentification scurise, vous devez avoir cr des utilisateurs Enterprise ou mapp
les utilisateurs tiers devant se connecter la plateforme de BI.
1. Connectez-vous la CMC
2. Dans la zone de gestion Authentification, cliquez sur l'option Enterprise.
La bote de dialogue "Enterprise" s'affiche.
3. Recherchez "Authentification scurise" et agissez comme suit :
a. Cliquez sur L'authentification scurise est active.
b. Cliquez sur Nouveau secret partag.
Le message La cl du secret partag est gnre et prte au tlchargement
s'affiche.
c. Cliquez sur Tlcharger le secret partag.
2012-05-10 234
Authentification
Le secret partag est utilis par l'ordinateur client et le CMS pour tablir la scurit. Vous devez
configurer l'authentification scurise sur le serveur et l'ordinateur client. L'ordinateur client est
votre serveur d'applications.
La bote de dialogue de "tlchargement de fichier" s'affiche.
d. Cliquez sur Enregistrer et enregistrez le fichier TrustedPrincipal.conf dans l'un des
rpertoires suivants :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64
e. Dans la zone Priode de validit du secret partag, tapez le nombre de jours de validit de
votre secret partag.
f. Indiquez une valeur de dlai pour vos demandes d'authentification scurise.
Remarque :
La valeur de dlai correspond au dcalage maximal, en millisecondes, entre l'horloge du client
et l'horloge du CMS. Si vous saisissez 0, le dcalage possible entre les deux horloges est illimit.
Il est dconseill de dfinir cette valeur sur 0 car cela risque d'augmenter la vulnrabilit aux
attaques.
4. Cliquez sur Mettre jour pour activer le secret partag.
La plateforme de BI n'effectue pas d'audit sur les modifications des paramtres de l'authentification
scurise. Vous devez sauvegarder manuellement les informations de l'authentification scurise.
Le secret partag est utilis par l'ordinateur client et le CMS pour tablir la scurit. Vous devez
configurer le client pour l'authentification scurise.
8.2.5 Configuration de l'authentification scurise pour une application Web
Pour configurer l'authentification scurise pour le client, vous devez modifier les proprits globales
du fichier BOE.war ainsi que les proprits spcifiques de la zone de lancement BI et des applications
OpenDocument.
Utilisez une des mthodes suivantes pour transmettre le secret partag au client :
Option WEB_SESSION
Fichier TrustedPrincipal.conf
Employez une des mthodes suivantes pour transmettre le nom d'utilisateur au client :
REMOTE_USER
HTTP_HEADER
COOKIE
QUERY_STRING
WEB_SESSION
USER_PRINCIPAL
2012-05-10 235
Authentification
Quelle que soit le mode de transmission du secret partag, la mthode utilise doit tre personnalise
dans les proprits globales de Trusted.auth.user.retrieval pour le fichier BOE.war.
8.2.5.1 Utilisation de l'authentification scurise pour la connexion unique SAML
Le SAML (Security Assertion Markup Language) est un standard XML pour la communication
d'informations d'identit. Le SAML fournit une connexion scurise o l'identit et l'approbation sont
communiques par activation d'un mcanisme de connexion unique qui limine les connexions
supplmentaires pour les utilisateurs scuriss tentant d'accder la plateforme de BI.
Activation de l'authentification SAML
Si votre serveur d'applications peut fonctionner comme fournisseur de service SAML, vous pouvez
utiliser l'authentification scurise pour fournir la connexion unique SAML la plateforme de BI.
Pour ce faire, vous devez d'abord configurer le serveur d'applications Web pour l'authentification SAML.
Voici un exemple de fichier web.xml configur pour l'authentification SAML :
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Veuillez vous rfrer la documentation du serveur d'applications pour davantage d'instructions sur
la manire de procder car cela varie en fonction du serveur d'applications.
2012-05-10 236
Authentification
Utilisation de l'authentification scurise
Une fois configur votre serveur d'applications pour fonctionner comme fournisseur de service SAML,
vous pouvez utiliser l'authentification scurise pour fournir la connexion unique SAML.
Remarque :
Les utilisateurs doivent tre imports sur la plateforme de BI ou disposer de comptes Enterprise.
La cration dynamique d'alias est utilise pour activer la connexion unique. Lorsqu'un utilisateur accde
pour la premire fois la page de connexion via SAML, il est invit se connecter manuellement
l'aide de ses rfrences de compte existantes de la plateforme de BI. Une fois les rfrences de
connexion de l'utilisateur vrifies, le systme cre un alias entre l'identit SAML de l'utilisateur et son
compte de plateforme de BI. Les tentatives ultrieures de connexion de l'utilisateur seront ralises
l'aide de la connexion unique car le systme aura fait correspondre dynamiquement l'alias d'identit
de l'utilisateur avec un compte existant.
Remarque :
Une proprit spcifique pour le fichier war BOE (trusted.auth.user.namespace.enabled) doit
tre active pour que ce mcanisme fonctionne.
8.2.5.2 Proprits d'authentification scurise pour les applications Web
Le tableau suivant rpertorie les paramtres d'authentification scurise inclus dans le fichier glo
bal.properties par dfaut pour BOE.war. Pour remplacer des paramtres, crez un fichier dans :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enter
prise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
2012-05-10 237
Authentification
Description
Valeur par d-
faut Proprit
Active et dsactive la connexion unique (SSO) la plateforme
de BI. Pour activer l'authentification scurise, cette proprit
doit tre dfinie sur true.
sso.en
abled=false
sso.en
abled=true
Nom de variable de session utilis pour extraire le secret pour
l'authentification scurise. Uniquement d'application si la ses-
sion Web est utilise pour transmettre le secret partag.
Aucune trus
ted.auth.sha
red.secret
Spcifie la variable utilise pour extraire le nom d'utilisateur
pour l'authentification scurise.
Aucune trus
ted.auth.user.pa
ram
Spcifie la mthode utilise pour extraire le nom d'utilisateur
pour l'authentification scurise. Peut tre dfinie sur l'une des
valeurs suivantes :
REMOTE_USER
HTTP_HEADER
COOKIE
QUERY_STRING
WEB_SESSION
USER_PRINCIPAL
Laissez en blanc pour dsactiver l'authentification scurise.
Aucune trus
ted.auth.user.re
trieval
Active et dsactive la liaison dynamique des alias aux comptes
utilisateur existants. Si la valeur true est attribue la propri-
t, l'authentification scurise utilise la liaison d'alias pour au-
thentifier les utilisateurs la plateforme de BI. Avec la liaison
d'alias, votre serveur d'applications peut fonctionner comme un
fournisseur de service SAML, en activant l'authentification s-
curise pour fournir une connexion unique SAML au systme.
Si la proprit est laisse en blanc, l'authentification scurise
utilisera la correspondance des noms lors de l'authentification
des utilisateurs.
Aucun trus
ted.auth.user.na
mespace.enabled
8.2.5.3 Pour configurer l'authentification scurise pour l'application Web
Si vous avez l'intention de stocker le secret partag dans le fichier TrustedPrincipal.conf,
assurez-vous de stocker le fichier dans le rpertoire de plateforme appropri :
2012-05-10 238
Authentification
Emplacement du fichier TrustedPrincipal.co-
nf
Plateforme
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86\
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64\
Windows, installation par dfaut
<REPINS
TALL>/sap_bobj/enterprise_xi40/
aix_rs6000/
AIX
<REPINS
TALL>/sap_bobj/enterprise_xi40/
solaris_sparc/
Solaris
<REPINSTALL>/sap_bobj/enter
prise_xi40/linux_x86
Linux
Divers mcanismes renseignent la variable de nomd'utilisateur utilise pour configurer l'authentification
scurise du client hbergeant les applications Web. Configurez votre serveur d'applications Web de
faon ce que les noms d'utilisateur soient exposs avant d'utiliser ces mthodes d'extraction du nom
d'utilisateur. Voir http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServletRequest.html pour
en savoir plus.
Pour configurer l'authentification scurise pour le client, vous devez accder au fichier BOE.war et
en modifier les proprits globales, y compris les proprits gnrales et spcifiques de la zone de
lancement BI et des applications Web OpenDocument.
Remarque :
En fonction de la mthode que vous comptez utiliser pour extraire le nom d'utilisateur ou le secret
partag, des tapes supplmentaires peuvent tre ncessaires.
1. Accdez au dossier personnalis pour le fichier BOE.war sur l'ordinateur hbergeant les applications
Web.
Si vous utilisez le serveur d'applications Web Tomcat fourni avec l'installation de la plateforme de
BI, vous pouvez accder au dossier suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\config\custom\
Conseil :
Si vous utilisez un serveur d'applications Web ne permettant pas l'accs direct aux applications
Web dployes, utilisez le dossier suivant dans l'installation de votre produit pour modifier le fichier
BOE.war.
<REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
Par la suite, vous devez redployer le fichier BOE.war modifi.
2012-05-10 239
Authentification
2. Crez un fichier l'aide de Notepad ou d'un autre diteur de texte.
3. Entrez les proprits d'authentification scurise suivantes :
sso.enabled=true
trusted.auth.user.retrieval=Method for user ID retrieval
trusted.auth.user.param=Variable
trusted.auth.shared.secret=WEB_SESSION
Pour la proprit trusted.auth.shared.secret, slectionnez une des options suivantes pour
l'extraction du nom d'utilisateur :
Mode d'extraction du nom d'utilisateur Option
Le nom d'utilisateur est extrait du contenu d'un
en-tte HTTP. Vous spcifiez l'en-tte HTTP
utiliser dans la proprit trus
ted.auth.user.param.
HTTP_HEADER
Le nom d'utilisateur est extrait d'un paramtre
de l'URL de la requte. Vous spcifiez la chane
de requte utiliser dans la proprit trus
ted.auth.user.param.
QUERY_STRING
Le nomd'utilisateur est extrait d'un cookie dfini.
Vous spcifiez le cookie utiliser dans la pro-
prit trusted.auth.user.param.
COOKIE
Le nomd'utilisateur est extrait du contenu d'une
variable de session dfinie. Vous spcifiez la
variable de session Web utiliser dans la pro-
prit trusted.auth.user.param du fichier
global.properties.
WEB_SESSION
Le nom d'utilisateur est extrait d'un appel
HttpServletRequest.getRemoteUser().
REMOTE_USER
Le nom d'utilisateur est extrait d'un appel ge
tUserPrincipal().getName() sur l'objet
HttpServletRequest pour la requte en
cours dans un servlet ou un fichier JSP.
USER_PRINCIPAL
Remarque :
Certains serveurs d'applications Web requirent que la variable d'environnement REMOTE_USER
soit dfinie sur true sur le serveur. Pour savoir si c'est obligatoire, voir la documentation de
2012-05-10 240
Authentification
votre serveur d'applications Web Si c'est requis, confirmez que la variable d'environnement est
dfinie sur true.
Si vous utilisez USER_PRINCIPAL ou REMOTE_USER pour transmettre le nomd'utilisateur, laissez
la proprit trusted.auth.user.param vierge.
4. Enregistrez le fichier sous le nom global.properties.
5. Redmarrez le serveur d'applications Web.
Les nouvelles proprits s'appliquent uniquement lorsque l'application Web BOE est redploye sur
l'ordinateur excutant le serveur d'applications Web. Utilisez WDeploy pour redployer le fichier WAR
sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de
dploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
8.2.5.3.1 Exemples de configuration
Pour transmettre le secret partag par le biais du fichier TrustedPrincipal.conf
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a t cr sur la plateforme de
BI.
Les informations utilisateur sont stockes et transmises par le biais de la session Web, le secret partag
est transmis via le fichier TrustedPrincipal.conf, qui se trouve par dfaut dans le rpertoire
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\win32_x86. La version fournie de Tomcat 6 constitue le serveur d'applications Web.
1. Dans le rpertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\, utilisez Notepad ou un autre diteur
de texte pour crer un fichier.
2. Dans le nouveau fichier, saisissez les proprits d'authentification scurise suivantes :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=
3. Enregistrez le fichier sous le nom global.properties.
4. Recherchez le fichier C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we
bapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\custom.jsp.
5. Dans le fichier custom.jsp, entrez les proprits suivantes :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
2012-05-10 241
Authentification
6. Dans C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources, crez un fichier
myScript.js.
7. Dans le fichier myScript.js, entrez les proprits suivantes :
function goToLogonPage() {
window.location = "logon.jsp";
}
8. Arrtez le serveur Tomcat.
9. Supprimez le dossier work dans le rpertoire C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6.
10. Redmarrez Tomcat.
Pour vrifier si vous avez correctement configur l'authentification scurise, utilisez l'URL suivante
pour accder l'application zone de lancement BI : http://[nomcms]:8080/BOE/BI/custom.jsp,
[nomcms] tant le nom de l'ordinateur qui hberge le CMS. Un lien Cliquez sur ce lien pour accder
la page de connexion de la zone de lancement BI doit s'afficher.
Pour transmettre le secret partag par le biais de la variable de session Web
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a t cr sur la plateforme de
BI.
Les informations d'utilisateur seront stockes et transmises par le biais de la session Web, tandis que
le secret partag sera transmis par le biais de la variable de session Web. Le fichier est cens se
trouver dans le rpertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . Vous devez ouvrir et consulter le contenu
du fichier. Dans cet exemple de configuration, il est suppos que le secret partag est le suivant :
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
La version fournie de Tomcat 6 constitue le serveur d'applications Web.
1. Accdez au rpertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Crez un fichier.
Remarque :
Utilisez Notepad ou tout autre diteur de texte.
3. Spcifiez les proprits de l'authentification scurise en saisissant les lments suivants :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret
4. Enregistrez le fichier sous le nom suivant .
global.properties
2012-05-10 242
Authentification
5. Accdez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\eclipse\plugins\webpath.InfoView\web\custom.jsp
6. Modifiez le contenu du fichier pour inclure les lments suivants :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7"
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7. Crez le fichier myScript.js dans le rpertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources
8. Ajoutez myScript.js les lments suivants :
function goToLogonPage() {
window.location = "logon.jsp";
}
9. Fermez Tomcat.
10. Supprimez le fichier de travail du rpertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6
11. Redmarrez Tomcat.
Pour vrifier si vous avez correctement configur l'authentification scurise, utilisez l'URL suivante
pour accder l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/cus
tom.jsp o [nom_cms] est le nomde l'ordinateur hbergeant le CMS. Le lien suivant devrait s'afficher :
Cliquez sur ce lien pour accder la page de connexion de la zone de
lancement BI
Pour transmettre le nom d'utilisateur par le biais de l'utilisateur principal
L'exemple de configuration suivant suppose qu'un utilisateur nomm JohnDoe a t cr sur la
plateforme de BI.
Les informations utilisateur sont stockes et transmises par le biais de l'option Utilisateur principal, le
secret partag est transmis via le fichier TrustedPrincipal.conf, qui se trouve par dfaut dans le
rpertoire C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . La version fournie de Tomcat 6 constitue le serveur d'applications
Web.
2012-05-10 243
Authentification
Remarque :
La configuration du serveur d'applications Web est identique pour les mthodes REMOTE_USER et
USER_PRINCIPAL.
1. Arrtez le serveur Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat dans le rpertoire par dfaut C:\Program Files
(x86)\SAP BusinessObjects\Tomcat6\conf\.
3. Recherchez le paramtre <Realm className="org.apache.catalina.realm.UserDataba
seRealm"..../> et modifiez-le pour la valeur suivante :
<Realm className="org.apache.catalina.realm.MemoryRealm" ... />
4. Ouvrez le fichier tomcat-users.xml dans le rpertoire par dfaut C:\Program Files
(x86)\SAP BusinessObjects\Tomcat6\conf\.
5. Cherchez la balise <tomcat-users> et entrez les valeurs suivantes :
<user name=FirstnameLastname password=password
roles=onjavauser/>
6. Ouvrez le fichier web.xml dans le rpertoire C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\webapps\BOE\WEB-INF\.
7. Avant la balise </web-app>, insrez les balises suivantes :
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Remarque :
Vous devez ajouter une page pour la balise <url-pattern></url-pattern>. Cette page n'est
gnralement pas l'URL par dfaut de la zone de lancement BI ni d'aucune autre application Web.
8. Ouvrez le fichier personnalis global.properties et saisissez les valeurs suivantes :
trusted.auth.user.retrieval=USER_PRINCIPAL
trusted.auth.user.namespace.enabled=true
Remarque :
La configuration de trusted.auth.user.namespace.enabled=true est facultative. Ajoutez
le paramtre lorsque vous voulez mapper un nom d'utilisateur externe un nom d'utilisateur BOE
diffrent.
9. Supprimez le dossier work dans le rpertoire C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6.
10. Redmarrez Tomcat.
2012-05-10 244
Authentification
Pour vrifier que vous avez correctement configur l'authentification scurise, allez l'adresse
http://[cmsname]:8080/BOE/BI pour accder la zone de lancement BI, [cmsname] tant le
nomde l'ordinateur qui hberge le CMS. Aprs un moment, une bote de dialogue de connexion s'affiche.
8.3 Authentification LDAP
8.3.1 Utilisation de l'authentification LDAP
Cette section fournit une description gnrale du fonctionnement de l'authentification LDAP avec la
plateforme de BI. Elle prsente ensuite les outils d'administration qui vous permettent de grer et de
configurer les comptes LDAP sur la plateforme.
Lorsque vous installez la plateforme de BI, le plug-in d'authentification LDAP est install
automatiquement, mais n'est pas activ par dfaut. Vous devez tout d'abord vrifier que votre rpertoire
LDAP est configur afin d'utiliser l'authentification LDAP. Pour obtenir davantage d'informations sur
LDAP, reportez-vous la documentation relative LDAP.
Le protocole LDAP (Lightweight Directory Access Protocol), un rpertoire commun indpendant de
toute application, permet aux utilisateurs de partager des informations entre plusieurs applications.
Bas sur un standard ouvert, LDAP fournit un moyen d'accder et de mettre jour des informations
dans un rpertoire.
LDAP est bas sur le standard X.500, qui utilise un protocole d'accs aux rpertoires (DAP) pour
communiquer entre un client rpertoire et un serveur d'annuaire. LDAP est une alternative DAP car
il utilise moins de ressources, simplifie et omet certaines oprations et fonctions X.500.
La structure de rpertoires dans LDAP se compose d'entres organises selon un schma spcifique.
Chaque entre est identifie par un nom distinctif correspondant (DN) ou un nom commun (CN). Les
autres attributs communs incluent le nom d'unit de l'organisation (OU) et le nom de l'organisation (O).
Par exemple, un groupe de membres peut se trouver dans une arborescence de rpertoires comme
suit : cn=Utilisateurs de la plateforme de BI, ou=Utilisateurs Enterprise A, o=Recherche. Consultez
votre documentation LDAP pour plus d'informations.
LDAP tant indpendant de toute application, tout client disposant des privilges appropris peut
accder ses rpertoires. LDAP vous offre la possibilit de configurer des utilisateurs pour se connecter
la plateforme de BI par le biais de l'authentification LDAP. Il fournit aux utilisateurs des droits d'accs
aux objets du systme. Tant que vous disposez d'un serveur (ou de serveurs) LDAPen cours d'excution,
et que vous utilisez LDAP dans vos systmes existants relis en rseau, vous pouvez utiliser
l'authentification LDAP (en mme temps que les authentifications Enterprise et Windows AD).
Si vous le souhaitez, le plug-in de scurit LDAP fourni avec la plateforme de BI peut communiquer
avec votre serveur LDAP via une connexion SSL tablie l'aide d'une authentification serveur ou d'une
2012-05-10 245
Authentification
authentification mutuelle. Dans le cadre d'une authentification serveur, le serveur LDAP possde un
certificat de scurit que la plateforme de BI utilise pour vrifier si elle approuve le serveur, tandis que
le serveur LDAP autorise les connexions depuis des clients anonymes. Dans le cadre d'une
authentification mutuelle, le serveur LDAP et la plateforme de BI disposent de certificats de scurit et
le serveur LDAP doit galement vrifier le certificat client pour qu'une connexion puisse tre tablie.
Le plug-in de scurit LDAP fourni avec la plateforme de BI peut tre configur de manire
communiquer avec votre serveur LDAP via SSL, mais il effectue toujours une authentification de base
lors de la vrification des rfrences de connexion des utilisateurs. Avant de dployer l'authentification
LDAP conjointement avec la plateforme de BI, assurez-vous que vous tes familiaris avec les
diffrences entre ces types d'authentification LDAP. Pour en savoir plus, voir RFC2251, prsent
disponible l'adresse http://www.faqs.org/rfcs/rfc2251.html.
Rubriques associes
Configuration de l'authentification LDAP
Mappage des groupes LDAP
8.3.1.1 Plug-in de scurit LDAP
Le plug-in de scurit LDAP vous permet de mapper des comptes et des groupes utilisateur de votre
serveur d'annuaire LDAP vers la plateforme de BI ; il permet galement au systme de vrifier toutes
les requtes de connexion qui spcifient l'authentification LDAP. Les utilisateurs sont authentifis par
rapport au serveur de rpertoire LDAP et leur appartenance un groupe LDAP mapp est vrifie
avant que le CMS ne leur accorde une session de plateforme de BI active. Les listes d'utilisateurs et
les appartenances des groupes sont mises jour dynamiquement par le systme. Si vous souhaitez
renforcer la scurit, vous pouvez spcifier que la plateforme doit utiliser une connexion SSL (Secure
Sockets Layer) pour communiquer avec le serveur d'annuaire LDAP.
L'authentification LDAP pour la plateforme de BI est similaire l'authentification Windows AD en ce
sens que vous pouvez mapper des groupes et configurer l'authentification, les droits d'accs et la
cration d'alias. En outre, comme dans l'authentification NT ou AD, vous pouvez crer des comptes
Enterprise pour les utilisateurs LDAP existants et attribuer des alias LDAP aux utilisateurs existants si
les noms d'utilisateur correspondent aux noms d'utilisateur Enterprise. En outre, vous pouvez procder
aux oprations suivantes :
Mapper les utilisateurs et les groupes depuis le service de rpertoire LDAP.
Mapper LDAP par rapport AD. Un certain nombre de restrictions s'appliquent si vous configurez
LDAP par rapport AD.
Spcifier des noms d'htes multiples et les ports associs.
Configurer LDAP avec SiteMinder.
Une fois que vous avez mapp vos utilisateurs et vos groupes LDAP, tous les outils client de la plateforme
de BI prennent en charge l'authentification LDAP. Vous pouvez galement crer vos propres applications
prenant en charge l'authentification LDAP.
2012-05-10 246
Authentification
Rubriques associes
Configuration des paramtres SSL pour le serveur LDAP ou l'authentification mutuelle
Mappage de LDAP par rapport Windows AD
Configuration du plug-in LDAP pour SiteMinder
8.3.2 Configuration de l'authentification LDAP
Pour simplifier la gestion, la plateforme de BI prend en charge l'authentification LDAP pour les comptes
d'utilisateurs et de groupes. Pour que les utilisateurs puissent utiliser leur nom d'utilisateur et leur mot
de passe LDAP pour se connecter au systme, vous devez mapper leur compte LDAP la plateforme
de BI. Lorsque vous mappez un compte LDAP, vous pouvez choisir de crer un compte ou d'tablir un
lien vers un compte de la plateforme de BI existant.
Avant de configurer et d'activer l'authentification LDAP, vrifiez que le rpertoire LDAP est configur.
Pour en savoir plus, reportez-vous la documentation relative LDAP.
La configuration de l'authentification LDAP comprend les tches suivantes :
Configuration de l'hte LDAP
Prparation du serveur LDAP pour SSL (si ncessaire)
Configuration du plug-in LDAP pour SiteMinder (si ncessaire)
Remarque :
Si vous configurez LDAP par rapport AD, vous pourrez mapper vos utilisateurs, mais vous ne serez
pas en mesure de configurer une connexion unique ADou une connexion unique la base de donnes.
Cependant, les mthodes de connexion unique LDAPtelles que SiteMinder et l'authentification scurise
seront toujours disponibles.
8.3.2.1 Pour configurer l'hte LDAP
Avant de configurer l'hte LDAP, votre serveur LDAP doit tre install et en cours d'excution.
1. Dans la zone de gestion Authentification de la CMC, cliquez deux fois sur LDAP.
Remarque :
Pour accder la zone de gestion Authentification, cliquez sur Authentification dans la liste de
navigation.
2. Saisissez le nom et le numro de port de vos htes LDAP dans la zone Ajoutez un hte LDAP
(nomhte:port) (par exemple, "monserveur:123"), cliquez sur Ajouter, puis sur OK.
2012-05-10 247
Authentification
Conseil :
Rptez cette tape pour ajouter d'autres htes LDAP appartenant au mme type de serveur, qui
feront office de serveurs de basculement. Si vous voulez supprimer un hte, mettez en surbrillance
le nom de l'hte et cliquez sur Supprimer.
3. Choisissez votre type de serveur dans la liste Type de serveur LDAP.
Remarque :
Si vous mappez LDAP AD, slectionnez le serveur d'applications Microsoft Active Directory comme
type de serveur.
4. Pour afficher ou modifier les mappages des attributs du serveur LDAP ou les attributs de recherche
LDAP par dfaut, cliquez sur Afficher les mappages des attributs.
Par dfaut, les mappages des attributs du serveur et les attributs de recherche de chaque type de
serveur pris en charge sont dj dfinis.
5. Cliquez sur Suivant.
6. Dans la zone Nomdistinctif LDAP de base, saisissez un nomdistinctif (par exemple, o=UneBase)
pour le serveur LDAP, puis cliquez sur Suivant.
7. Dans la zone "Rfrences d'administration du serveur LDAP", indiquez le nom distinctif et le mot
de passe d'un compte utilisateur disposant d'un accs en lecture au rpertoire.
Remarque :
Les rfrences d'administrateur ne sont pas requises.
Remarque :
Si votre serveur LDAP permet la liaison anonyme, ne renseignez pas cette zone. Les serveurs et
les clients de la plateforme de BI se connecteront l'hte principal via une connexion anonyme.
8. Si vous avez configur des rfrences sur l'hte LDAP, saisissez les informations d'authentification
sous "Rfrences LDAP", puis saisissez le nombre de tronons de rfrence dans la zone Nombre
maximal de tronons de rfrence.
Remarque :
Vous devez configurer la zone "Rfrences LDAP" si toutes les conditions suivantes s'appliquent :
L'hte principal est configur pour faire rfrence un autre serveur d'annuaire qui traite les
requtes concernant les entres dans une base spcifie.
L'hte auquel il est fait rfrence est configur de manire ne pas autoriser la liaison anonyme.
Un groupe de l'hte auquel il est fait rfrence sera mapp la plateforme de BI.
Remarque :
Les groupes peuvent tre mapps partir de plusieurs htes mais seul un ensemble de rfrences
de connexion peut tre dfini. Par consquent, si vous disposez de plusieurs htes de rfrence,
vous devez crer un compte d'utilisateur sur chaque hte qui utilise les mmes nom distinctif et
mot de passe.
Si le Nombre maximal de tronons de rfrence est dfini sur 0 (zro), aucune rfrence n'est
autorise.
2012-05-10 248
Authentification
9. Cliquez sur Suivant, puis slectionnez le type d'authentification SSL (Secure Sockets Layer) utilis :
De base (non SSL)
Authentification du serveur
Authentification mutuelle
10. Cliquez sur Suivant et slectionnez De base (pas de connexion unique) ou SiteMinder comme
mthode d'authentification de connexion unique LDAP.
11. Cliquez sur Suivant, puis slectionnez le mode de mappage des alias et utilisateurs aux comptes
de la plateforme de BI :
a. Dans la liste Options de nouvel alias, slectionnez le mode de mappage des nouveaux alias
aux comptes Enterprise :
Affecter un mme compte chaque alias LDAP ajout
Utilisez cette option lorsque vous savez que certains utilisateurs possdent un compte
Enterprise portant le mme nom ; cela signifie que les alias LDAP seront affects aux
utilisateurs existants (la cration d'alias automatique est active). Les utilisateurs dpourvus
de compte Enterprise ou ne portant pas le mme nom dans leur compte Enterprise et LDAP
sont ajouts en tant que nouveaux utilisateurs.
Crer un nouveau compte pour chaque alias LDAP ajout
Utilisez cette option pour crer un compte pour chaque utilisateur.
b. Dans Options de mise jour des alias, slectionnez le mode de gestion des mises jour des
alias pour les comptes Enterprise :
Crer de nouveaux alias lors de la mise jour des alias
Utilisez cette option pour crer automatiquement un nouvel alias pour chaque utilisateur LDAP
mapp la plateforme de BI. De nouveaux comptes LDAP sont ajouts pour les utilisateurs
dpourvus de comptes de la plateforme de BI, ou pour tous les utilisateurs si vous avez
slectionn l'option Crer un nouveau compte pour chaque alias LDAP ajout.
Crer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Slectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux
utilisateurs dont seulement quelques-uns utiliseront la plateforme de BI. Le systme ne cre
pas automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Par contre,
il cre des alias (et des comptes, le cas chant) uniquement pour les utilisateurs qui se
connectent la plateforme.
c. Si votre licence d'accs aux services de la plateforme de BI n'est pas base sur les rles
utilisateur, dans la liste Options de nouvel utilisateur, slectionnez une option pour indiquer
comment crer les nouveaux utilisateurs :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences
Utilisateurs nomms. Les licences Utilisateur nomm sont associes des utilisateurs
particuliers qui peuvent accder au systme en saisissant un nom d'utilisateur et un mot de
passe. Ainsi, les utilisateurs nomms peuvent accder au systme, quel que soit le nombre
de personnes connectes. Il faut qu'une licence Utilisateurs nomms soit disponible pour
chaque compte d'utilisateur cr l'aide de cette option.
2012-05-10 249
Authentification
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences
Utilisateurs simultans. Les licences d'accs simultans spcifient le nombre d'utilisateurs
pouvant se connecter en mme temps aux services de la plateforme de BI. Cette licence est
tout fait adapte dans la mesure o elle peut accepter de nombreux utilisateurs. Par exemple,
suivant la frquence et la dure des connexions des utilisateurs aux Services de plateforme
d'informations, une licence pour 100 utilisateurs simultans peut prendre en charge 250, 500
ou 700 utilisateurs.
12. Sous"Options de liaison d'attributs", spcifiez la priorit de liaison d'attributs pour le plug-in LDAP :
a. Cliquez dans la zone Importer le nom complet, l'adresse lectronique et d'autres attributs.
Les noms complets et les descriptions des comptes LDAP sont imports et stocks avec les
objets utilisateur dans le systme.
b. Spcifiez une option pour Rendre la liaison d'attributs LDAP prioritaire par rapport aux
autres liaisons d'attributs.
Remarque :
Si l'option est dfinie sur 1, les attributs LDAP sont prioritaires dans les scnarios o LDAP et
les autres plug-ins (Windows AD et SAP) sont activs. Si elle est dfinie sur 3, les attributs des
autres plug-ins sont prioritaires.
13. Cliquez sur Terminer.
Rubriques associes
Configuration des paramtres SSL pour le serveur LDAP ou l'authentification mutuelle
Configuration du plug-in LDAP pour SiteMinder
8.3.2.2 Gestion des htes LDAP multiples
Lors de l'utilisation de LDAP et de la plateforme de BI, vous pouvez rendre votre systme tolrant aux
pannes en ajoutant plusieurs htes LDAP. Le systme utilise comme hte LDAP principal le premier
hte que vous ajoutez. Les htes suivants sont traits en tant qu'htes de basculement.
L'hte LDAP principal et tous les htes de basculement doivent tre configurs exactement de la mme
faon, et chaque hte LDAP doit faire rfrence tous les autres htes partir desquels vous souhaitez
mapper des groupes. Pour obtenir davantage d'informations sur les htes et les rfrences LDAP,
reportez-vous la documentation relative LDAP.
Pour ajouter plusieurs htes LDAP, saisissez-les lorsque vous configurez LDAP l'aide de l'Assistant
de configuration LDAP (voir pour plus d'informations). Si vous avez dj configur LDAP, vous pouvez
accder la zone de gestion Authentification de la Central Management Console puis cliquer sur l'onglet
LDAP. Dans la zone Rsum de la configuration du serveur LDAP, cliquez sur le nom de l'hte LDAP
pour ouvrir la page qui vous permet d'ajouter ou de supprimer des htes.
2012-05-10 250
Authentification
Remarque :
Assurez-vous d'ajouter en premier l'hte principal, suivi des autres htes de basculement.
Si vous recourez des htes LDAP de basculement, vous ne pouvez pas utiliser le niveau le plus
lev de scurit SSL (en d'autres termes, vous ne pouvez pas slectionner l'option "Accepter le
certificat du serveur s'il provient d'une autorit de certification fiable et si l'attribut CN du certificat
correspond au nom d'hte DNS du serveur").
Rubriques associes
Configuration de l'authentification LDAP
8.3.2.3 Configuration des paramtres SSL pour le serveur LDAP ou
l'authentification mutuelle
Cette section dcrit la configuration SSL avec une authentification serveur et mutuelle LDAP sur la
CMC. Il est suppos que vous avez configur l'hte LDAP et que vous avez slectionn l'une des
options suivantes pour votre authentification SSL :
Authentification du serveur
Authentification mutuelle
Pour en savoir plus ou pour obtenir des informations sur la configuration du serveur hte LDAP,
reportez-vous la documentation de votre fournisseur LDAP.
Rubriques associes
Pour configurer l'hte LDAP
2012-05-10 251
Authentification
8.3.2.3.1 Pour configurer l'authentification du serveur LDAP ou l'authentification mutuelle
Excutez cette action avant de commencer cette tche Ressources
Cette action est requise pour l'authentification serveur et mutuelle avec
SSL.
1. Faites gnrer un certificat CA par une autorit de certification.
2. Ajoutez le certificat votre serveur LDAP.
Pour en savoir plus, consultez la documentation de votre fournisseur LDAP.
Certificat CA
Cette action est requise pour l'authentification serveur et mutuelle avec
SSL.
1. Demandez puis gnrez un certificat de serveur.
2. Autorisez le certificat, puis ajoutez-le au serveur LDAP.
Certificat de serveur
Ces fichiers sont requis pour l'authentification serveur et mutuelle avec
SSL.
1. Tlchargez l'application certutil qui gnre un fichier cert7.db ou
cert8.db (selon vos besoins) l'adresse : ftp://ftp.mozilla.org/pub/mo
zilla.org/security/nss/releases/NSS_3_6_RTM/.
2. Copiez le certificat CA dans le mme rpertoire que l'application certutil.
3. Utilisez la commande suivante pour gnrer les fichiers cert7.db ou
cert8.db, key3.db et secmod.db :
certutil -N -d .
4. Utilisez la commande suivante pour ajouter le certificat CA au fichier
cert7.db ou cert8.db :
certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer
5. Stockez les trois fichiers dans un rpertoire de l'ordinateur hbergeant
la plateforme de Business Intelligence (BI).
cert7.db ou cert8.db,
key3.db
Ce fichier est requis pour l'authentification serveur ou mutuelle avec SSL
pour les applications Java comme la zone de lancement BI.
1. Recherchez le fichier keytool dans votre rpertoire bin Java.
2. Utilisez la commande suivante pour crer le fichier cacerts :
keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> -
trustcacerts -keystore
3. Stockez le fichier cacerts dans le mme rpertorie que les fichiers
cert7.db ou cert8.db et key3.db.
cacerts
Certificat client
2012-05-10 252
Authentification
Excutez cette action avant de commencer cette tche Ressources
1. Crez des demandes client distinctes pour les fichiers cert7.db ou
cert8.db et .keystore :
Pour configurer le plug-in LDAP, utilisez l'application certutil afin de
gnrer une demande de certificat client.
Utilisez la commande suivante pour gnrer la demande de certificat
client :
certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .
<client_dn> inclut des informations telles que "CN=<clie
nt_name>, OU=org unit, O=Companyname, L=city, ST=provi
nce, and C=country.
2. Utilisez l'autorit de certification pour authentifier la demande de certificat.
Utilisez la commande suivante pour rcuprer le certificat et l'insrer
dans le fichier cert7.db ou cert8.db :
certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>
3. Pour faciliter l'authentification Java avec SSL :
Utilisez l'utilitaire keytool dans le rpertoire bin de Java pour gnrer
une demande de certificat client.
Utilisez la commande suivante pour gnrer une paire de cls :
keytool -genkey -keystore .keystore
4. Aprs avoir spcifi les informations sur votre client, utilisez la commande
suivante pour gnrer une demande de certificat client :
keytool -certreq -file <certificate_request_name> -keystore .keystore
5. Aprs authentification de la demande de certificat client par l'autorit de
certification, utilisez la commande suivante pour ajouter le certificat CA
au fichier .keystore :
keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> -tru
stcacerts -keystore .keystore
6. Rcuprez la demande de certificat client auprs de l'autorit de certifi-
cation et utilisez la commande suivante pour l'ajouter au fichier .keys
tore :
keytool -import -v -file <client_certificate_name> -trustcacerts -keystore
.keystore
7. Stockez le fichier .keystore dans le mme rpertoire que les fichiers
cert7.db ou cert8.db et cacerts sur l'ordinateur hbergeant la
plateforme de BI.
1. Slectionnez le niveau de scurit SSL que vous souhaitez utiliser :
Toujours accepter le certificat du serveur
2012-05-10 253
Authentification
Cette option offre le niveau de scurit le plus faible. Avant que la plateforme de BI ne puisse
tablir une connexion SSL avec l'hte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vrifier un certificat de scurit envoy par l'hte LDAP. La plateforme de BI
ne vrifie pas le certificat qu'elle reoit.
Accepter le certificat du serveur s'il provient d'une autorit de certification fiable
Cette option offre un niveau de scurit moyen. Avant que la plateforme de BI ne puisse tablir
une connexion SSL avec l'hte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle
doit recevoir et vrifier un certificat de scurit envoy par l'hte. Pour vrifier le certificat, le
systme doit rechercher l'autorit de certification ayant mis le certificat dans sa base de donnes
des certificats.
Accepter le certificat du serveur s'il provient d'une autorit de certification fiable et si
l'attribut CN du certificat correspond au nom d'hte DNS du serveur
Cette option offre le niveau de scurit le plus lev. Avant que la plateforme de BI ne puisse
tablir une connexion SSL avec l'hte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vrifier un certificat de scurit envoy par l'hte LDAP. Pour vrifier le
certificat, la plateforme de BI doit rechercher l'autorit de certification ayant mis le certificat dans
sa base de donnes des certificats et pouvoir confirmer que l'attribut CN du certificat du serveur
correspond exactement au nom d'hte LDAP saisi dans la zone Ajouter un hte LDAP lors de
la premire tape de l'Assistant, si vous avez entr le nom d'hte LDAP sous la forme ABA
LONE.rd.crystald.net:389. (L'utilisation de CN =ABALONE:389 dans le certificat ne fonctionne
pas.).
Le nom d'hte associ au certificat de scurit du serveur est le nom d'hte LDAP principal. Si
vous slectionnez cette option, vous ne pouvez pas utiliser un hte LDAP de basculement.
Remarque :
Les applications Java ignorent les premier et dernier paramtres et acceptent le certificat du serveur
uniquement si celui-ci provient d'une autorit de certification de confiance.
2. Dans la zone Hte SSL, saisissez le nom d'hte de chaque ordinateur, puis cliquez sur Ajouter.
Ensuite, vous devez ajouter le nom d'hte de chaque ordinateur du dploiement de la plateforme
BI qui utilise son SDK. (Cela concerne l'ordinateur sur lequel s'excute le CMS (Central Management
Server) et celui sur lequel s'excute le serveur d'applications Web.)
3. Spcifiez les paramtres SSL pour chaque hte SSL ajout la liste :
a. Slectionnez Par dfaut dans la liste SSL.
b. Dcochez les cases Utiliser la valeur par dfaut.
c. Saisissez une valeur dans les zones Chemin d'accs aux fichiers de certificats et de base
de donnes de cls et Mot de passe d'accs la base de donnes des cls.
d. Si vous spcifiez les paramtres d'une authentification mutuelle, saisissez une valeur dans la
zone Surnom du certificat du client dans la base de donnes de certificats.
Remarque :
Les paramtres par dfaut seront utiliss (pour toute dfinition) pour n'importe quel hte o la case
Utiliser la valeur par dfaut est coche ou pour tout ordinateur dont le nom n'est pas ajout la
liste des htes SSL.
2012-05-10 254
Authentification
4. Spcifiez les paramtres par dfaut de chaque hte qui n'apparat pas dans la liste, puis cliquez
sur Suivant.
Pour spcifier les paramtres d'un autre hte, slectionnez le nom d'hte dans la liste de gauche,
puis saisissez les valeurs dans les zones de droite.
Remarque :
Les paramtres par dfaut seront utiliss (pour toute dfinition) pour n'importe quel hte o la case
Utiliser la valeur par dfaut est coche ou pour tout ordinateur dont le nom n'est pas ajout la
liste des htes SSL.
5. Slectionnez De base (non SSL) ou SiteMinder comme mode d'authentification de connexion
unique LDAP.
6. Choisissez le mode de cration de nouveaux utilisateurs et alias LDAP.
7. Cliquez sur Terminer.
Rubriques associes
Configuration du plug-in LDAP pour SiteMinder
8.3.2.4 Modification des paramtres de configuration LDAP
Aprs avoir configur l'authentification LDAP l'aide de l'Assistant de configuration LDAP, vous pouvez
modifier les paramtres de connexion et des groupes de membres LDAP l'aide de la page Rsum
de la configuration du serveur LDAP.
1. Accdez la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'autorisation LDAPest configure, la page "Rsum de la configuration du serveur LDAP" apparat.
Cette page permet de modifier les zones ou les champs de paramtres de connexion. Vous pouvez
galement modifier la zone "Groupes des membres LDAP mapps".
3. Supprimez les groupes actuellement mapps qui ne sont plus accessibles selon les nouveaux
paramtres de connexion, puis cliquez sur Mettre jour.
4. Modifiez les paramtres de connexion, puis cliquez sur Mettre jour.
5. Modifiez les options "Alias et Nouvel utilisateur", puis cliquez sur Mettre jour.
6. Mappez les nouveaux groupes de membres LDAP, puis cliquez sur Mettre jour.
8.3.2.5 Configuration du plug-in LDAP pour SiteMinder
2012-05-10 255
Authentification
Cette section explique comment configurer la CMC pour utiliser LDAP avec SiteMinder. SiteMinder est
un outil tiers qui permet l'authentification et l'accs des utilisateurs et qui peut tre employ avec le
plug-in de scurit LDAP pour crer une connexion unique la plateforme de BI.
Pour utiliser SiteMinder et LDAP avec la plateforme de BI, vous devez apporter des modifications de
configuration deux endroits :
Le plug-in LDAP via la CMC
Les proprits du fichier BOE.war
Remarque :
Vrifiez que l'administrateur SiteMinder a activ la prise en charge des agents 4.x. Cette activation doit
tre effectue quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur SiteMinder et sur son installation, reportez-vous sa documentation.
Rubriques associes
Pour configurer l'hte LDAP
8.3.2.5.1 Pour configurer LDAP pour la connexion unique avec SiteMinder
1. Ouvrez l'cran Configurez les paramtres SiteMinder l'aide d'une des mthodes suivantes :
Slectionnez SiteMinder dans l'cran "Choisissez un mode d'authentification de connexion unique
LDAP" dans l'assistant de configuration LDAP.
Slectionnez le lien "Type de connexion unique" dans l'cran d'authentification LDAP disponible
si vous avez dj configur LDAP et que vous ajoutez maintenant la connexion unique.
2. Dans la zone Hte serveur de rgles, saisissez le nom de chaque serveur de rgles, puis cliquez
sur Ajouter.
3. Pour chaque hte serveur de rgles, indiquez le numro des ports de comptabilisation,
d'Authentification et d'autorisation.
4. Saisissez le Nom de l'agent et le Secret partag. Saisissez de nouveau le secret partag.
5. Cliquez sur Suivant.
6. Poursuivez par la configuration des options LDAP.
8.3.2.5.2 Pour activer LDAP et SiteMinder dans le fichier BOE.war
Vous devez spcifier les paramtres SiteMinder pour le plug-in de scurit LDAP et pour les proprits
du fichier BOE.war.
1. Recherchez le rpertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme
de BI.
2. Crez un fichier l'aide de Notepad ou d'un autre diteur de texte.
3. Dans le nouveau fichier, saisissez les valeurs suivantes :
siteminder.authentication=secLDAP
siteminder.enabled=true
4. Enregistrez le fichier sous le nom global.properties et fermez-le.
2012-05-10 256
Authentification
N'enregistrez pas le fichier avec une extension comme .txt.
5. Crez un autre fichier dans le mme rpertoire.
6. Dans le nouveau fichier, saisissez les valeurs suivantes :
authentication.default=LDAP
cms.default=[cms name]:[CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
7. Enregistrez le fichier sous le nom bilaunchpad.properties et fermez-le.
Les nouvelles proprits prennent effet lorsque l'application Web BOE est redploye sur l'ordinateur
excutant le serveur d'applications Web. Utilisez WDeploy pour redployer le fichier WARsur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de dploiement
d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.
8.3.3 Mappage des groupes LDAP
Aprs avoir configur l'hte LDAP l'aide de l'Assistant de configuration LDAP, vous pouvez mapper
les groupes LDAP aux groupes Enterprise.
Aprs avoir mapp les groupes LDAP, vous pouvez les afficher en cliquant sur les options LDAP dans
la zone de gestion Authentification. Si l'authentification LDAP est configure, la zone Groupes des
membres LDAP mapps affiche les groupes LDAP mapps la plateforme de BI.
Remarque :
Vous pouvez galement mapper les groupes Windows AD pour qu'ils soient authentifis dans la
plateforme de BI via le plug-in de scurit LDAP.
Remarque :
Si vous avez configur LDAP par rapport AD, cette procdure mappera vos groupes AD.
Rubriques associes
Mappage de LDAP par rapport Windows AD
8.3.3.1 Pour mapper des groupes LDAP l'aide de la plateforme de BI.
1. Dans la zone de gestion "Authentification" de la CMC, cliquez deux fois sur LDAP.
Si l'authentification LDAP est configure, la page de rsum LDAP apparat.
2012-05-10 257
Authentification
2. Dans la zone "Groupes des membres LDAP mapps", saisissez votre groupe LDAP (soit par un
nom commun ou un nom distinct) dans la zone Ajouter un groupe LDAP (par cn ou dn) et cliquez
sur Ajouter.
Vous pouvez ajouter plusieurs groupes LDAP.
Conseil :
Pour supprimer un groupe, mettez-le en surbrillance et cliquez sur Supprimer.
3. Dans la liste Options de nouvel alias, slectionnez le mode de mappage des alias LDAP aux
comptes Enterprise.
Affecter un mme compte chaque alias LDAP ajout
Utilisez cette option si vous savez que certains utilisateurs possdent un compte Enterprise
portant le mme nom; en d'autres termes, les alias LDAP seront affects aux utilisateurs existants
(la cration automatique d'alias est active). Les utilisateurs dpourvus de compte Enterprise,
ou ne portant pas le mme nom dans leur compte Enterprise et LDAP, sont ajouts en tant que
nouveaux utilisateurs LDAP.
Crer un nouveau compte pour chaque alias LDAP ajout
Slectionnez cette option pour crer un nouveau compte pour chaque utilisateur.
4. Dans la liste Options de mise jour des alias, slectionnez une option pour dterminer si les alias
LDAP sont automatiquement crs pour les nouveaux utilisateurs :
Crer de nouveaux alias lors de la mise jour des alias
Crer de nouveaux alias uniquement lorsque l'utilisateur se connecte
5. Slectionnez une option dans la liste Options de nouvel utilisateur pour spcifier les proprits
des nouveaux comptes Enterprise crs afin de les mapper aux comptes LDAP :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Slectionnez cette option pour configurer les nouveaux comptes utilisateur de faon ce qu'ils
utilisent des licences Utilisateur nomm. Les licences Utilisateur nomm sont associes des
utilisateurs particuliers qui peuvent accder au systme en saisissant un nom d'utilisateur et un
mot de passe. Ainsi, les utilisateurs nomms peuvent accder au systme, quel que soit le
nombre de personnes connectes. Il faut qu'une licence Utilisateurs nomms soit disponible
pour chaque compte d'utilisateur cr l'aide de cette option.
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Slectionnez cette option pour configurer les nouveaux comptes utilisateur de faon ce qu'ils
utilisent des licences Utilisateur simultan. Les licences d'accs simultans spcifient le nombre
d'utilisateurs pouvant se connecter en mme temps la plateforme de BI. Cette licence est tout
fait adapte dans la mesure o elle peut accepter de nombreux utilisateurs. Par exemple,
suivant la frquence et la dure des connexions des utilisateurs au systme, une licence pour
100 utilisateurs simultans peut prendre en charge 250, 500 ou 700 utilisateurs.
6. Cliquez sur Mettre jour.
2012-05-10 258
Authentification
8.3.3.2 Pour dmapper les groupes LDAP l'aide de la plateforme de BI
1. Accdez la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'authentification LDAP est configure, la page de rsum LDAP apparat.
3. Dans la zone "Groupes des membres LDAP mapps", slectionnez le groupe LDAP que vous voulez
supprimer.
4. Cliquez sur Supprimer, puis sur Mettre jour.
Les utilisateurs appartenant ce groupe ne pourront pas accder la plateforme de BI.
Remarque :
La seule exception possible se produit lorsqu'un utilisateur dispose d'un alias pour un compte
Enterprise. Pour limiter l'accs, dsactivez ou supprimez le compte Enterprise de l'utilisateur.
Pour refuser l'authentification LDAP pour tous les groupes, dcochez la case "L'authentification LDAP
est active", puis cliquez sur Mettre jour.
8.3.3.3 Mappage de LDAP par rapport Windows AD
Si vous configurez LDAP par rapport Windows AD, tenez compte des restrictions suivantes :
Si vous configurez LDAP par rapport AD, vous pourrez mapper vos utilisateurs, mais vous ne
serez pas en mesure de configurer une connexion unique AD ou une connexion unique la base
de donnes. Cependant, les mthodes de connexion unique LDAP telles que SiteMinder et
l'authentification scurise seront toujours disponibles.
Les utilisateurs qui sont uniquement membres de groupes par dfaut d'AD ne pourront pas se
connecter. Ils doivent galement tre membres d'un autre groupe ADcr explicitement et ce groupe
doit en plus tre mapp. Le groupe "utilisateurs du domaine" est un exemple de ce type de groupe.
Si un groupe local de domaine mapp contient un utilisateur provenant d'un domaine diffrent de
la fort, l'utilisateur de ce domaine diffrent ne sera pas en mesure de se connecter.
Les utilisateurs d'un groupe universel dont le domaine est diffrent du contrleur de domaine spcifi
comme hte LDAP ne pourront pas se connecter.
Vous ne pouvez pas utiliser le plug-in LDAP pour mapper les utilisateurs et les groupes de forts
AD situs l'extrieur de la fort dans laquelle la plateforme de BI est installe.
Vous ne pouvez pas mapper le groupe Utilisateurs du domaine dans AD.
Vous ne pouvez pas mapper un groupe local de l'ordinateur.
2012-05-10 259
Authentification
Si vous utilisez le contrleur de domaine de catalogue global, vous devez tenir compte des remarques
supplmentaires suivantes lors du mappage de LDAP AD :
Remarques Situation
Vous pouvez effectuer un mappage dans :
les groupes universels d'un domaine enfant,
les groupes du mme domaine contenant des groupes
universels d'un domaine enfant, et
les groupes universels inter-domaines.
Vous ne pouvez pas effectuer de mappage dans :
les groupes globaux d'un domaine enfant,
les groupes locaux d'un domaine enfant,
les groupes du mme domaine contenant un groupe
global du domaine enfant, et
les groupes globaux inter-domaines.
Gnralement, si le groupe est un groupe universel, il
prendra en charge les utilisateurs inter-domaines et ceux
des domaines enfants. Les autres groupes ne seront pas
mapps s'ils contiennent des utilisateurs inter-domaines
ou de domaines enfants. Dans le domaine vers lequel
vous pointez, vous pouvez mapper les groupes locaux,
globaux et universels du domaine.
Plusieurs domaines lors du pointage
vers le contrleur de domaine de cata-
logue global
Pour effectuer un mappage dans les groupes universels,
vous devez pointer vers le contrleur de domaine de ca-
talogue global. Vous devez galement utiliser le numro
de port 3268 au lieu du port 389 par dfaut.
Mappage dans les groupes universels
Si vous utilisez plusieurs domaines mais que vous ne pointez pas vers le contrleur de domaine de
catalogue global, vous ne pouvez effectuer de mappage dans aucun type de groupe inter-domaines
ou de domaines enfant. Vous pouvez effectuer un mappage dans tous les types de groupe du
domaine spcifique vers lequel vous pointez uniquement.
8.3.3.4 Utilisation du plug-in LDAP pour configurer la connexion unique la
base de donnes SAP HANA
2012-05-10 260
Authentification
Cette section prsente aux administrateurs les tapes requises pour dfinir et configurer la connexion
unique (SSO) entre la plateforme de BI s'excutant sur SUSE Linux 11 et la base de donnes SAP
HANA. L'authentification LDAP l'aide de Kerberos permet aux utilisateurs AD d'tre authentifis sur
une plateforme de BI excute sur Linux (spcifiquement SUSE). Ce scnario prend galement en
charge la connexion unique SAP HANA comme base de donnes de reporting.
Remarque :
Pour en savoir plus sur la manire de configurer la base de donnes SAP HANA, voir Base de donnes
SAP HANA - Guide d'installation et de mise jour des serveurs. Pour en savoir plus sur la manire de
configurer le composant d'accs aux donnes de SAP HANA, voir le Guide d'accs aux donnes.
Vue d'ensemble de l'implmentation
Les composants suivants doivent tre installs pour que la connexion unique Kerberos fonctionne.
Configuration requise Composant
Hberg par le mme ordinateur qu'Active Directory pour utiliser l'authenti-
fication Kerberos.
Contrleur de domaine
Install et excut sur un ordinateur utilisant SUSE Linux Enterprise 11
(SUSE).
Central Management
Server
Install avec les utilitaires et bibliothques requis sur l'hte SUSE.
Remarque :
Utilise la dernire version du client Kerberos V5. Ajoutez les dossiers bin
et lib aux variables d'environnement PATH et LD_LIBRARY_PATH.
Client Kerberos V5
Activ sur l'hte SUSE.
Plug-in d'authentifica-
tion LDAP
Cr sur l'ordinateur hbergeant le serveur d'applications Web.
Fichier de configura-
tion de connexion Ker-
beros
Workflow d'implmentation
Les tches suivantes doivent tre effectues pour permettre aux utilisateurs de la plateforme de BI une
connexion unique SAP HANA l'aide de l'authentification Kerberos via JDBC.
1. Configuration de l'hte AD.
2. Cration des comptes et fichiers keytab pour l'hte SUSE et la plateforme de BI sur l'hte AD.
3. Installation des ressources Kerberos sur l'hte SUSE.
4. Configuration de l'hte SUSE pour l'authentification Kerberos.
5. Configuration des options de l'authentification Kerberos dans le plug-in d'authentification LDAP.
6. Cration d'un fichier de configuration de connexion Kerberos pour l'hte des applications Web.
2012-05-10 261
Authentification
8.3.3.4.1 Configuration du contrleur de domaine
Vous pouvez avoir besoin de configurer une relation scurise entre l'hte SUSE et le contrleur de
domaine. Si l'hte SUSE est dans le contrleur de domaine Windows, vous n'avez pas configurer la
relation scurise. Cependant, si le dploiement de la plateforme de BI et le contrleur de domaine
sont dans des domaines diffrents, vous pouvez avoir besoin de configurer une relation scurise entre
l'ordinateur Linux SUSE et le contrleur de domaine. Cette action requiert les lments suivants :
1. Crer un compte utilisateur pour l'ordinateur SUSE excutant la plateforme de BI.
2. Crer un nom principal du service (SPN) pour l'hte.
Remarque :
Le SPN doit tre mis en forme selon les conventions Windows AD : hte/nom d'hte@NOM_DO
MAINE_DNS. Utilisez un nom de domaine entirement qualifi, en minuscules, pour /nom d'hte.
Le NOM_DOMAINE_DNS doit tre spcifi en majuscules.
3. Excutez la commande de configuration Keytab Kerberos ktpass pour associer le SPN au compte
utilisateur :
c:\> ktpass -princ host/hostname@DNS_REALM_NAME-mapuser username -pass Password1 -crypto RC4-HMAC-NT -
out usernamebase.keytab
Les tapes suivantes doivent tre effectues sur l'ordinateur hbergeant le contrleur de domaine.
1. Crez un compte utilisateur pour le service excutant la plateforme de BI.
2. Dans la page "Comptes utilisateurs", cliquez avec le bouton droit sur le nouveau compte de service
et slectionnez Proprits > Dlgation.
3. Slectionnez Approuver cet utilisateur pour la dlgation tous les services (Kerberos
uniquement).
4. Excutez la commande de configuration Keytab Kerberos ktpass pour crer un compte SPN pour
le nouveau compte de service :
c:\>ktpass -princ sianame/service_name@DNS_REALM_NAME -mapuser service_name -pass password -ptype
KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out sianame.keytab
Remarque :
Le SPNdoit tre mis en forme selon les conventions Windows AD: nomsia/nom_service@NOM_DO
MAINE_DNS. Indiquez le nom du service en minuscules, sinon la plateforme SUSE ne pourra
pas le rsoudre. Le NOM_DOMAINE_DNS doit tre spcifi en majuscules.
Description Paramtre
Spcifie le nom principal pour l'authentification Kerberos. -princ
Spcifie le nom du fichier keytab Kerberos gnrer. Il doit correspondre
au nomsia utilis dans -princ.
-out
Spcifie le nom du compte utilisateur auquel le SPN est mapp. Le Server
Intelligence Agent s'excute sur ce compte.
-mapuser
Indique le mot de passe utilis par le compte de service. -pass
2012-05-10 262
Authentification
Description Paramtre
Spcifie le type principal.
-ptype KRB5_NT_PRINCIPAL
-ptype
Spcifie le type de cryptage utiliser avec le compte de service :
-crypto RC4-HMAC-NT
-crypto
Vous avez gnr les fichiers keytab requis pour la relation scurise entre l'ordinateur SUSE et le
contrleur de domaine.
Vous devez transfrer le ou les fichiers keytab sur l'ordinateur SUSE et les stocker dans le rpertoire
/etc.
8.3.3.4.2 Configuration de l'ordinateur SUSE Linux Enterprise 11
Les ressources suivantes sont requises pour configurer Kerberos sur l'ordinateur Linux SUSE excutant
la plateforme de BI :
Fichiers keytab crs sur le contrleur de domaine. Le fichier keytab cr pour le service de la
palteforme de BI est obligatoire. Le fichier keytab pour l'hte SUSE est recommand, en particulier
pour les scnarios o l'hte de la plateforme de BI et le contrleur de domaine sont dans des
domaines diffrents.
La dernire bibliothque Kerberos V5 (y compris le client Kerberos) doit tre installe sur l'hte
SUSE. Vous devez ajouter l'emplacement des fichiers binaires aux variables d'environnement PATH
et LD_LIBRARY_PATH . Pour vrifier que le client Kerberos est correctement install et configur,
assurez-vous que les utilitaires et bibliothques suivants sont prsents sur l'hte SUSE :
kinit
ktutil
kdestroy
klist
/lib64/libgssapi_krb5.so.2.2
/lib64/libkrb5.so.3.3
/lib/libkrb5support.so.0.1
/lib64/libk5crypto.so.3
/lib64/libcom_err.so.2
Conseil :
Excutez rpm -qa | grep krb pour contrler la version de ces bibliothques. Pour en savoir
plus sur le dernier client Kerberos, les bibliothques et la configuration de l'hte UNIX, voir
http://web.mit.edu/kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Kerberos%20V5.
Une fois que toutes les ressources requises sont disponibles sur l'hte SUSE, suivez les instructions
ci-dessous pour configurer l'authentification Kerberos.
2012-05-10 263
Authentification
Remarque :
Pour effectuer ces tapes, vous devez disposer des droits root.
1. Pour fusionner les fichiers keytab, excutez la commande suivante :
> ktutil
ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q
2. Modifiez le fichier /etc/kerb5.conf pour qu'il fasse rfrence au contrleur de domaine (sur la
plateforme Windows) comme tant le contrleur de domaine Kerberos (KDC, Kerberos Domain
Controller).
Utilisez l'exemple ci-dessous :
[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM
[libdefaults]
forwardable = true
default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAINNAME.COM = {
kdc = machinename.domainname.com
}
Remarque :
Le fichier krb5.conf contient les informations de configuration Kerberos, y compris les
emplacements des KDC et serveurs des domaines Kerberos importants, les applications Kerberos
et les mappages des noms d'hte dans les domaines Kerberos. Normalement, le fichier krb5.conf
est install dans le rpertoire /etc.
3. Ajoutez le contrleur de domaine /etc/hosts afin que l'hte SUSE puisse localiser le KDC.
4. Excutez le programme kinit partir du rpertoire /usr/local/bin pour vrifier que Kerberos
a t configur correctement. Vrifiez qu'un compte utilisateur de compte AD peut se connecter
l'ordinateur SUSE.
Conseil :
Le KDC doit mettre un Ticket Granting Ticket (TGT) pouvant tre visualis dans le cache. Utilisez
le programme klist pour visualiser le TGT.
Exemple :
> kinit <AD user>
Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew
until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>
2012-05-10 264
Authentification
Utilisez galement kinit pour tester les SPN.
8.3.3.4.3 Configuration des options d'authentification Kerberos pour LDAP
Avant de configurer l'authentification Kerberos pour LDAP, vous devez d'abord activer et configurer le
plug-in d'authentification LDAP de la plateforme de BI pour vous connecter au rpertoire AD. Pour
utiliser l'authentification LDAP, vous devez d'abord vrifier que votre rpertoire LDAP respectif est
configur.
Remarque :
Lors de l'excution de l'"Assistant de configuration LDAP", vous devez spcifier le serveur d'applications
Microsoft Active Directory et fournir les informations de configuration demands.
Aprs activation de l'authentification LDAP et connexion au serveur d'applications Microsoft Active
Directory, la zone "Options d'authentification Kerberos" s'affiche sur la page Rsum de la configuration
du serveur LDAP. Utilisez cette zone pour configurer l'authentification Kerberos, qui est requise pour
la connexion unique la base de donnes SAP HANA depuis une plateforme de BI dploye sur SUSE.
1. Accdez la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
La page "Rsum de la configuration du serveur LDAP" s'affiche, vous pouvez y modifier n'importe
quel paramtre de connexion ou champ.
3. Pour configurer l'authentification Kerberos, suivez ces tapes dans la zone "Activer l'authentification
Kerberos" :
a. Cliquez sur Activer l'authentification Kerberos.
b. Cliquez sur Contexte de scurit de la mmoire cache.
Remarque :
L'activation du contexte de scurit du cache est spcialement requise pour la connexion unique
SAP HANA.
c. Spcifiez le SPN(Service Principal Name) du compte de la plateforme de BI dans "Nomprincipal
du service"
Le format pour spcifier le SPN est nomsia/service@NOM_DOMAINE_DNS, o
Nom du SIA nomsia
Nom du compte de service utilis pour excuter la plateforme de BI service
Nom de domaine du contrleur de domaine en majuscules
NOM_DO
MAINE_DNS
Conseil :
En spcifiant le SPN, souvenez-vous que nomsia/service est sensible la casse.
d. Spcifiez le domaine du contrleur de domaine dans "Domaine par dfaut".
e. Spcifiez Nom principal de l'utilisateur dans Attribut du nom principal de
l'utilisateur.
2012-05-10 265
Authentification
Cette valeur est utilise par l'application d'authentification LDAP pour fournir les valeurs d'ID
utilisateur requises par Kerberos. La valeur indique doit correspondre au nom fourni lors de la
cration des fichiers keytab.
4. Cliquez sur Mettre jour pour envoyer et enregistrer les modifications.
Vous avez configur les options d'authentification Kerberos pour faire rfrence aux comptes utilisateur
dans le rpertoire AD.
Vous devez crer un fichier de configuration de connexion Kerberos - bscLogin.conf - pour activer
la connexion Kerberos et la connexion unique.
Rubriques associes
Configuration de l'authentification LDAP
8.3.3.4.4 Cration d'un fichier de configuration de connexion Kerberos
Pour activer la connexion Kerberos et la connexion unique, vous devez ajouter un fichier de configuration
de connexion sur l'ordinateur hbergeant le serveur d'applications Web de la plateforme de BI.
1. Crez un fichier nomm bscLogin.conf et stockez-le dans le rpertoire /etc.
Remarque :
Vous pouvez stocker ce fichier un autre emplacement, mais vous devrez le spcifier dans vos
options Java. Il est conseill de placer le fichier bscLogin.conf et les fichiers keytab Kerberos
dans le mme rpertoire. Dans un dploiement rparti, il faut ajouter un fichier bscLogin.conf
pour chaque ordinateur hbergeant un serveur d'applications Web.
2. Ajoutez le code suivant au fichier de configuration de connexion bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
Remarque :
La section suivante est particulirement requise pour la connexion unique :
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
3. Enregistrez le fichier et fermez-le.
2012-05-10 266
Authentification
8.3.3.5 Dpannage des nouveaux comptes LDAP
Si vous crez un nouveau compte d'utilisateur LDAP qui n'appartient pas un compte de groupe
mapp la plateforme de BI, mappez le groupe ou ajoutez le nouveau compte d'utilisateur LDAP
un groupe dj mapp au systme.
Si vous crez un compte d'utilisateur LDAP qui appartient un compte de groupe mapp la
plateforme de BI, actualisez la liste des utilisateurs.
Rubriques associes
Configuration de l'authentification LDAP
Mappage des groupes LDAP
8.4 Authentification Windows AD
8.4.1 Prsentation
8.4.1.1 Utilisation de l'authentification Windows AD
Cette section fournit une description gnrale du mode de fonctionnement de l'authentification Windows
Active Directory (AD) avec la plateforme de BI. Elle prsente ensuite les workflows d'administration
requis pour activer et grer les comptes AD sur la plateforme de BI. La fin de la section prsente des
conseils de base pour le dpannage.
Exigences de prise en charge
Pour faciliter l'authentification AD sur la plateforme de BI, vous devez tenir compte des exigences de
prise en charge suivantes.
Le CMS doit toujours tre install sur une plateforme Windows prise en charge.
Bien que les plateformes Windows 2003 et 2008 soient prises en charge aussi bien pour
l'authentification Kerberos que pour l'authentification NTLM, il est possible que certaines applications
2012-05-10 267
Authentification
de la plateforme de BI n'utilisent qu'une mthode d'authentification spcifique. Par exemple, des
applications telles que la zone de lancement BI et la Central Management Console ne prennent en
charge que Kerberos.
Procdure de base d'authentification AD
Pour utiliser l'authentification AD avec la plateforme de BI, vous devez appliquer la procdure de base
suivante :
1. Configurer les ressources de contrleur de domaine requises.
2. Prparer l'hte de la plateforme de BI pour l'authentification Windows AD.
3. Activer le plug-in de scurit AD et mapper les groupes AD.
4. Choisissez une mthode d'authentification :
Windows AD avec Kerberos
Windows AD avec NTLM
5. Configurez la connexion unique aux applications de la plateforme de BI. Cette tape facultative peut
tre facilite grce aux mthodes suivantes :
Windows AD avec Vintela (Kerberos)
Windows AD avec SiteMinder (Kerberos)
8.4.1.1.1 Plug-in de scurit Windows AD
Le plug-in de scurit Windows AD permet de mapper des comptes et des groupes d'utilisateurs de la
base de donnes utilisateur Microsoft Active Directory (AD) 2003 et 2008 dans la plateforme de BI. Il
permet galement au systme de vrifier toutes les requtes de connexion qui spcifient l'authentification
AD. Les utilisateurs sont authentifis par rapport la base de donnes utilisateur ADet leur appartenance
un groupe AD mapp est vrifie avant que le CMS (Central Management Server) ne leur accorde
une session de plateforme de BI active
Le plug-in de scurit de Windows AD vous permet de procder la configuration suivante :
Authentification Windows AD avec NTLM
Authentification Windows AD avec Kerberos
Authentification Windows AD avec SiteMinder pour une connexion unique
Le plug-in de scurit Windows AD est compatible avec les domaines Microsoft Active Directory 2003
et 2008 excuts en mode natif ou mixte.
Une fois que vous avez mapp vos utilisateurs et groupes AD, il peuvent accder tous les outils client
de la plateforme de BI utilisant l'authentification AD.
L'authentification Windows AD fonctionne uniquement si le CMS s'excute sous Windows. Pour
que la connexion unique la base de donnes fonctionne, les serveurs de reporting doivent
galement s'excuter sous Windows. Tous les autres serveurs et services peuvent s'excuter sur
toutes les plateformes prises en charge.
Le plug-in Windows AD pour la plateforme de BI prend en charge les domaines dans plusieurs
forts.
2012-05-10 268
Authentification
8.4.1.1.2 Utilisation des utilisateurs et groupes Windows AD
La plateforme de BI prend en charge l'authentification AD (Active Directory) avec le plug-in de scurit
Windows inclus par dfaut lors de l'installation du produit sur une plateforme Windows. La prise en
charge de l'authentification Windows AD signifie que les comptes des utilisateurs et des groupes de
Microsoft Active Directory (2003 et 2008) peuvent tre utiliss pour l'authentification sur la plateforme
de BI. L'administrateur systme peut ainsi mapper les comptes AD existants au lieu de configurer
chaque utilisateur et chaque groupe sur la plateforme de BI.
Planification des mises jour des groupes Windows AD
La plateforme de BI permet aux administrateurs de planifier les mises jour des groupes et alias
utilisateur AD. Cette fonction est disponible pour l'authentification ADavec Kerberos ou NTLM. La CMC
vous permet galement de visualiser la date et l'heure d'excution de la dernire mise jour.
Remarque :
Pour que l'authentification AD fonctionne sur la plateforme de BI, vous devez configurer la mthode de
mise jour des groupes et alias AD.
Lorsque vous planifiez une mise jour, vous pouvez choisir une des priodicits rcapitules dans le
tableau suivant :
Description Priodicit
La mise jour s'excutera toutes les heures. Vous pouvez spci-
fier l'heure laquelle l'excution dmarrera, de mme que sa
date de dbut et sa date de fin.
Toutes les heures
La mise jour s'excutera tous les jours ou tous les Njours. Vous
pouvez prciser l'heure laquelle l'excution aura lieu, de mme
que sa date de dbut et sa date de fin.
Tous les jours
La mise jour s'excutera toutes les semaines. Elle peut tre
excute une ou plusieurs fois par semaine. Vous pouvez prciser
les jours et l'heure auxquels l'excution doit avoir lieu, ainsi qu'une
date de dbut et une date de fin.
Toutes les semaines
La mise jour s'excutera tous les mois ou tous les Nmois. Vous
pouvez prciser l'heure laquelle l'excution aura lieu, de mme
que sa date de dbut et sa date de fin.
Tous les mois
La mise jour sera excute un jour spcifique du mois. Vous
pouvez prciser le jour du mois et l'heure auxquels l'excution
aura lieu, ainsi que sa date de dbut et sa date de fin.
Nime jour du mois
La mise jour sera excute le premier lundi de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu, de
mme que sa date de dbut et sa date de fin.
1er lundi du mois
2012-05-10 269
Authentification
Description Priodicit
La mise jour sera excute le dernier jour de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu, de
mme que sa date de dbut et sa date de fin.
Dernier jour du mois
La mise jour sera excute le jour indiqu de la semaine indi-
que du mois. Vous pouvez prciser l'heure laquelle l'excution
aura lieu, de mme que sa date de dbut et sa date de fin.
Jour X de la Nime semaine du
mois
La mise jour sera excute aux dates spcifies dans un cale-
ndrier prcdemment cr.
Calendrier
Planification des mises jour de groupe AD
La plateforme de BI s'appuie sur AD(Active Directory) pour les informations utilisateur et les informations
de groupe. Pour limiter le volume des requtes envoyes AD, le plug-in AD met en cache les
informations sur les groupes, leurs relations, et l'appartenance des utilisateurs aux groupes. La mise
jour ne s'effectue pas si aucune planification spcifique n'est dfinie.
Vous devez utiliser la CMC pour configurer la rcurrence de l'actualisation de la mise jour de groupe.
La planification doit reflter la frquence laquelle vous voulez modifier les informations d'appartenance
aux groupes.
Planification des mises jour des alias d'utilisateur AD
Les objets utilisateur peuvent avoir un alias dans un compte AD (Active Directory) Windows, ce qui
permet aux utilisateurs d'utiliser leur rfrences de connexion AD pour se connecter la plateforme
de BI. Les mises jour des comptes AD sont propages sur la plateforme de BI par le plug-in AD. Les
comptes crs, supprims ou dsactivs dans AD le sont aussi sur la plateforme de BI.
Si vous ne planifiez pas les mises jour des alias AD, elles se produiront uniquement dans les cas
suivants :
Un utilisateur se connecte : l'alias AD est mis jour.
Un administrateur slectionne l'option Mettre jour les alias et les groupes AD maintenant dans
la zone Mise jour d'AD la demande de la CMC.
Remarque :
Aucun mot de passe AD n'est stock dans l'alias utilisateur.
8.4.1.1.3 Connexion unique avec Windows AD
Le plug-in de scurit Windows AD prend en charge la connexion unique, afin de permettre aux
utilisateurs AD authentifis de se connecter la plateforme de BI sans avoir saisir explicitement leurs
rfrences de connexion. Les conditions requises pour la connexion unique dpendent du mode d'accs
des utilisateurs la plateforme : via un client lourd ou via le Web. Dans les deux scnarios, le plug-in
de scurit obtient le contexte de scurit de l'utilisateur auprs du fournisseur d'authentification et
accorde l'utilisateur une session active de la plateforme de BI s'il est membre d'un groupe AD mapp.
2012-05-10 270
Authentification
La connexion unique l'application Web de zone de lancement BI constitue le scnario d'utilisation le
plus courant.
Connexion unique une base de donnes
Le plug-in Windows AD prend en charge la connexion unique la base de donnes. S'ils sont
correctement identifis, les utilisateurs AD n'ont pas fournir leurs rfrences de connexion au compte
lors de l'accs aux rapports partir de l'application de la zone de lancement BI.
Rubriques associes
Utilisation de Windows AD avec SiteMinder
Configuration de l'authentification Windows AD (Kerberos) avec la connexion unique Vintela
8.4.2 Prparation l'authentification AD (Kerberos)
8.4.2.1 Utilisation de l'authentification Windows AD avec Kerberos
Cette section dcrit les tches prrequises pour configurer l'authentification Kerberos pour la plateforme
de BI. Une fois que toutes les tches prrequises ont t implmentes, vous pouvez passer la
configuration des options d'authentification Windows AD pour Kerberos dans le plug-in de scurit de
Windows AD.
Workflow recommand
Pour configurer correctement l'authentification Windows AD, les tches prrequises suivantes doivent
tre implmentes :
Dfinition d'un compte de service pour l'excution de la plateforme de BI
Prparation des serveurs de la plateforme de BI l'authentification Windows AD avec Kerberos
Configuration de votre serveur d'applications Web pour l'authentification Windows ADavec Kerberos
8.4.2.1.1 Configuration d'un compte de service pour l'authentification AD avec Kerberos
Pour configurer la plateforme de BI pour l'authentification Kerberos et Windows AD, vous avez besoin
d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en crer un nouveau.
Le compte de service sera utilis pour excuter les serveurs de la plateforme de BI.
Remarque :
Aprs avoir configur le compte de service, vous devrez accorder les droits d'accs aux comptes
appropris.
2012-05-10 271
Authentification
Si vous utilisez un domaine Windows 2003 ou 2008, vous pouvez galement configurer une restriction
de dlgation.
Conditions requises pour l'utilisation de Kerberos par la plateforme de BI
Le compte de service doit remplir les conditions requises suivantes afin de permettre la plateforme
d'utiliser Kerberos :
Le compte doit disposer spcifiquement du droit Agir en tant que partie du systme d'exploitation.
Le compte doit disposer spcifiquement du droit Se connecter en tant que service.
Droits de contrle total sur le dossier o est installe la plateforme de BI.
Droits de contrle total sur HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects dans
le rpertoire systme.
Pour configurer le compte de service sur un domaine Windows 2003 ou 2008
Vous devez configurer un nouveau compte de service sur le contrleur de domaine pour activer
correctement l'authentification Windows AD avec Kerberos. Ce compte de service sera utilis
spcifiquement pour permettre aux utilisateurs d'un groupe Windows AD prcis de se connecter la
zone de lancement BI. Cette tche est effectue sur l'ordinateur du contrleur du domaine AD.
1. Crez un compte avec un mot de passe sur le contrleur de domaine ou utilisez un compte existant.
Pour des instructions dtailles, voir http://msdn.microsoft.com/ .
2. Excutez la commande keytabktpass pour crer et placer un fichier keytab Kerberos.
Vous devrez spcifier les paramtres ktpass rpertoris dans le tableau suivant :
Description
Para
mtre
Indique le nom du fichier keytab Kerberos gnrer. -out
Indique le nom du compte utilisateur auquel le SPN est mapp. Il s'agit du compte
sous lequel le Server Intelligence Agent s'excute.
-mapu
ser
Indique le mot de passe utilis par le compte de service. -pass
Indique le type principal. Doit tre spcifi comme suit :
-ptype KRB5_NT_PRINCIPAL
-ptype
Spcifie quel type de cryptage utiliser avec le compte de service. Utilisez les indica-
tions suivantes :
-crypto RC4-HMAC-NT
-crypto
Par exemple :
ktpass -out -mapuser sbo.serviceDOMAIN.COM -pass password -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
2012-05-10 272
Authentification
Le rsultat de la commande ktpass doit confirmer le contrleur de domaine cible et la cration
d'un fichier keytab Kerberos contenant le secret partag. La commande mappe galement le nom
principal du compte de service (local).
3. Excutez la commande setspn -l pour vrifier que la commande ktpass a t correctement
excute.
Le rsultat affich rpertorie tous les noms principaux de service enregistrs sur le compte de service
local.
4. Cliquez avec le bouton droit de la souris sur le compte cr au cours de l'tape 1, slectionnez
Proprits > Dlgation.
5. Cliquez sur Approuver cet utilisateur pour la dlgation tous les services (Kerberos
uniquement).
6. Cliquez sur OK pour enregistrer vos paramtres.
Une fois cr, des droits doivent tre affects au compte de service, et celui-ci doit tre ajout au groupe
Administrateurs local des serveurs.
Accord de droits pour le compte de service
Pour que Windows AD et Kerberos soient pris en charge, vous devez attribuer au compte de service
le droit d'agir en tant que partie du systme d'exploitation. Vous devez le faire sur chaque ordinateur
excutant un SIA (Server Intelligence Agent) avec le CMS (Central Management Server).
Si vous avez besoin d'une connexion unique la base de donnes, le SIA doit inclure les serveurs
suivants :
Crystal Reports Processing Server
Report Application Server
Web Intelligence Processing Server
Remarque :
Pour que la connexion unique la base de donnes fonctionne, le compte de service doit tre approuv
pour la dlgation.
Pour accorder des droits de compte de service
1. Cliquez sur Dmarrer > Panneau de configuration > Outils d'administration > Stratgie de
scurit locale.
2. Dveloppez Stratgies locales, puis cliquez sur Attribution des droits utilisateur.
3. Cliquez deux fois sur Agir en tant que partie du systme d'exploitation.
4. Cliquez sur Ajouter.
5. Saisissez le nom du compte de service cr, puis cliquez sur OK.
6. Vrifiez que la case cocher Paramtre de stratgie locale est active, puis cliquez sur OK.
7. Rptez les tapes ci-dessus pour chaque ordinateur sur lequel est install un serveur de la
plateforme de BI.
2012-05-10 273
Authentification
Remarque :
Il est important que l'option Droits effectifs soit active aprs la slection de l'option Agir en tant
que partie du systme d'exploitation. En rgle gnrale, vous devez redmarrer le serveur pour
ce faire. Si, une fois le serveur redmarr, cette option n'est toujours pas active, vos paramtres
de stratgie locale sont crass par vos paramtres de stratgie de domaine.
8.4.2.1.2 Prparation des serveurs l'authentification Windows AD avec Kerberos
Une fois le compte de service cr et configur pour l'authentification Windows AD avec Kerberos,
vous pouvez excuter chaque SIA au sein de votre dploiement de la plateforme de BI sous ce compte.
Pour configurer le SIA sous le compte de service
Effectuez cette tche pour tout SIA (Server Intelligence Agent) excutant les services utiliss par le
compte de service cr pour l'authentification Windows AD avec Kerberos.
1. Pour lancer le CCM, slectionnezProgrammes > Plateforme SAP BusinessObjects Business
Intelligence 4 > Plateforme SAPBusinessObjects Business Intelligence > Central Configuration
Manager.
La page d'accueil du CCM s'ouvre.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
slectionnez Arrter.
Remarque :
Lorsque vous arrtez le SIA, tous les services grs par celui-ci sont arrts.
3. Cliquez avec le bouton droit sur le SIA et slectionnez Proprits.
4. Dsactivez la case cocher Compte de systme.
5. Saisissez les rfrences de connexion du compte de service (NOMDOMAINE\nom du service) et
cliquez sur OK.
6. Redmarrez le SIA.
7. Au besoin, rptez les tapes 1 5 pour chaque SIA excutant un service qui doit tre configur.
8.4.2.1.3 Prparation du serveur d'applications l'authentification Windows AD (Kerberos)
Cette section prsente les tches de configuration de Kerberos pour une utilisation avec les serveurs
d'applications suivants :
Tomcat
WebSphere
WebLogic
Oracle Application Server
SAP NetWeaver 7.10
Cette section contient les informations suivantes :
2012-05-10 274
Authentification
Le workflow spcifique un serveur d'applications Web particulier. Ce workflow est ncessaire,
tant donn que la mise en uvre de JAAS (Java Authentication and Authorization Service) est
diffrente d'un serveur l'autre.
Les dtails de la procdure pour chaque tape du workflow.
Exemples de fichier Krb5.ini pour les serveurs d'applications Java.
Prsentation gnrale
La procdure spcifique de configuration de Kerberos pour un serveur d'applications Web diffre
lgrement en fonction du type de serveur d'applications spcifique utilis. Toutefois, la procdure
gnrale de configuration de Kerberos comprend les tapes suivantes :
Cration du fichier de configuration Kerberos.
Cration du fichier de configuration de la connexion JAAS.
Remarque :
Cette tape n'est pas requise pour le serveur d'applications Java de SAPNetWeaver 7.10. Cependant,
vous devrez ajouter LoginModule votre serveur SAP NetWeaver.
Modification des options Java.
Redmarrage du serveur d'applications Java.
Cration d'un fichier de configuration Kerberos pour SAP NetWeaver, Tomcat, WebLogic, SAP
NetWeaver ou Oracle
Procdez comme suit pour crer le fichier de configuration Kerberos si vous utilisez SAPNetweaver 7.10,
Tomcat 6, Oracle Application Server ou WebLogic.
1. Crez le fichier krb5.ini (s'il n'existe pas dj) et stockez-le sous C:\WINNT pour Windows.
Remarque :
Si le serveur d'applications est install sous UNIX, utilisez les rpertoires suivants :
Solaris : /etc/krb5/krb5.conf
Linux : /etc/krb5.conf
Vous pouvez stocker ce fichier un autre emplacement, mais vous devrez le spcifier dans vos
options Java. Pour en savoir plus sur krb5.ini, consultez la page http://docs.sun.com/app/do
cs/doc/816-0219/6m6njqb94?a=view.
2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
2012-05-10 275
Authentification
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
Remarque :
DOMAINE.COM est le nom DNS du domaine. Vous devez le saisir en majuscules au format FQDN.
kdc est le nomd'hte du contrleur de domaine. Vous pouvez ajouter plusieurs entres de domaine
la section [realms] si les utilisateurs se connectent partir de plusieurs domaines. [capath]
dfinit l'approbation entre les domaines faisant partie d'une autre fort AD. Dans l'exemple ci-dessus,
DOMAINE2.COM est un domaine d'une fort externe et bnficie d'une approbation directe transitive
bidirectionnelle DOMAINE.COM. Dans une configuration comportant plusieurs domaines, sous
[libdefaults], la valeur default_realm peut correspondre tout domaine source. La meilleure
solution consiste utiliser le domaine comportant le plus grand nombre d'utilisateurs qui seront
authentifis l'aide de leurs comptes AD. Si aucun suffixe UPN n'est fourni la connexion, la valeur
par dfaut default_realm est utilise. Cette valeur doit tre cohrente avec le paramtre de
domaine par dfaut dans la CMC.
Rubriques associes
Pour modifier les options Java pour Kerberos sur Tomcat
Cration d'un fichier de configuration Kerberos pour WebSphere
1. Crez le fichier krb5.ini (s'il n'existe pas dj) et stockez-le sous C:\WINNT pour Windows.
Remarque :
Vous pouvez stocker ce fichier un autre emplacement, mais vous devrez le spcifier dans vos
options Java.
2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
2012-05-10 276
Authentification
Remarque :
Si vous utilisez le cryptage DES, remplacez rc4-hmac par des-cbc-crc.
DOMAINE.COM est le nomDNS du domaine. Vous devez le saisir en majuscules au format FQDN.
nomhte est le nom d'hte du contrleur de domaine.
3. Enregistrez le fichier et fermez-le.
Rubriques associes
Pour modifier les options Java pour Kerberos sur WebSphere
Exemple de fichier Krb5.ini avec plusieurs domaines
Voici un exemple de fichier avec plusieurs domaines :
[domain_realm]
; trust relationship: childtest4<->sboptest3<->sboptest<->sboptest2
[libdefaults]
default_realm = SBOPTEST.COM
[realms]
SBOPTEST.COM = {
kdc = VANPGVMBOBJ01.sboptest.com
}
SBOPTEST2.COM = {
kdc = VANPGVMBOBJ05.sboptest2.com
}
SBOPTEST3.COM = {
kdc = VANPGVMBOBJ07.sboptest3.com
}
CHILDTEST4.SBOPTEST3.COM = {
kdc = vanpgvmbobj08.childtest4.sboptest3.com
}
[capaths]
; for clients in sboptest3 to login sboptest2
SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
}
; for clients in childtest4 to login sboptest2
CHILDTEST4.SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
SBOPTEST2.COM = SBOPTEST3.COM
}
Cration d'un fichier de configuration de connexion JAAS Tomcat ou WebLogic
1. Crez un fichier nomm bscLogin.conf (s'il n'existe pas dj) et stockez-le l'emplacement par
dfaut : C:\WINNT.
Remarque :
Vous pouvez stocker ce fichier un emplacement diffrent. Toutefois, si vous le faites, vous devrez
spcifier son emplacement dans vos options Java.
2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
2012-05-10 277
Authentification
Cration d'un fichier de configuration de connexion JAAS Oracle
1. Recherchez le fichier jazn-data.xml.
Remarque :
L'emplacement par dfaut de ce fichier est C:\OraHome_1\j2ee \home\config. Si vous avez
install un serveur d'applications Oracle un autre emplacement, recherchez le fichier spcifique
votre installation.
2. Ajoutez le contenu suivant au fichier entre les balises <jazn-loginconfig> :
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3. Enregistrez et fermez le fichier jazn-data.xml.
Pour crer un fichier de configuration de connexion JAAS Websphere
1. Crez un fichier nomm bscLogin.conf si ncessaire, puis stockez-le dans l'emplacement par
dfaut : C:\WINNT
2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
Pour ajouter un LoginModule SAP NetWeaver
Pour utiliser Kerberos et SAP NetWeaver 7.10, configurez le systme comme si vous utilisiez le serveur
d'applications Web Tomcat. Vous ne devrez pas ncessairement crer de fichier bscLogin.conf.
Une fois cette opration effectue, vous devez ajouter un LoginModule et mettre jour certains
paramtres Java sur SAP NetWeaver 7.10.
Pour mapper com.sun.security.auth.module.Krb5LoginModule
com.businessobjects.security.jgss.initiate, vous devez ajouter manuellement un LoginModule
NetWeaver.
1. Ouvrez l'administrateur NetWeaver en entrant l'adresse suivante dans un navigateur Web :
http://<nom de l'ordinateur>:<port>/nwa.
2. Cliquez sur Gestion de configuration > Scurit > Authentification > Modules de connexion
> Edition.
3. Ajoutez un nouveau module de connexion avec les informations suivantes :
2012-05-10 278
Authentification
Krb5LoginModule Nom d'affichage
com.sun.security.auth.module.Krb5LoginModule Nom de la classe
4. Cliquez sur Enregistrer.
NetWeaver cre le module.
5. Cliquez sur Composants > Edition.
6. Ajoutez une nouvelle police nomme com.businessobjects.security.jgss.initiate.
7. Dans Pile d'authentification, ajoutez le module de connexion cr l'tape 3 et dfinissez-le sur
Requis.
8. Vrifiez qu'il n'existe aucune autre entre dans les "Options du module de connexion slectionn".
Si vous en trouvez, supprimez-les.
9. Cliquez sur Enregistrer.
10. Dconnectez-vous de l'administrateur NetWeaver.
Pour modifier les options Java pour Kerberos sur Tomcat
1. Dans le menu Dmarrer, slectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXXX par l'emplacement de stockage du fichier.
4. Fermez le fichier de configuration Tomcat.
5. Redmarrez Tomcat.
Pour modifier les options Java de SAP NetWeaver 7.10
1. Accdez l'outil de configuration Java (qui se trouve par dfaut sous C:\usr\sap\<ID
NetWeaver>\<instance>\j2ee\configtool\) et cliquez deux fois sur configtool.bat.
L'outil de configuration s'ouvre.
2. Cliquez sur Afficher > Mode expert.
3. Dveloppez Donnes cluster > Modle.
4. Slectionnez l'instance qui correspond votre serveur NetWeaver (par exemple Instance - <ID
systme><nom de l'ordinateur>).
5. Cliquez sur Paramtres VM.
6. Slectionnez SAP dans la liste Fournisseur et GLOBAL dans la liste Plateforme.
7. Cliquez sur Systme.
8. Ajoutez les informations de paramtres personnaliss suivantes :
2012-05-10 279
Authentification
<chemin vers le fichier krb5.ini comprenant
le nom de fichier>
java.security.krb5.conf
false javax.security.auth.useSubjectCred-
sOnly
9. Cliquez sur Enregistrer.
10. Cliquez sur Editeur de configuration.
11. Cliquez sur Configurations > Scurit > Configurations > com.businessobjects.security.jg
ss.initiate > Scurit > Authentification.
12. Cliquez sur Mode Edition.
13. Cliquez avec le bouton droit sur le nud Authentification et slectionnez Crer un sous-nud.
14. Slectionnez Saisie de valeurs dans la liste suprieure.
15. Saisissez les informations suivantes :
create_security_session Nom
false Valeur
16. Cliquez sur Crer.
17. Fermez la fentre.
18. Cliquez sur Outil de configuration.
19. Cliquez sur Enregistrer.
Aprs la mise jour de votre configuration, redmarrez le serveur NetWeaver.
Pour modifier les options Java pour Kerberos sur WebLogic
Si vous utilisez Kerberos avec WebLogic, vous devez modifier les options Java pour indiquer
l'emplacement du fichier de configuration Kerberos, ainsi que le module de connexion Kerberos.
1. Arrtez le domaine de WebLogic qui excute les applications de la plateforme de BI.
2. Ouvrez le script qui dmarre le domaine de WebLogic excutant les applications de votre plateforme
de BI (startWeblogic.cmd pour Windows, startWebLogic.sh pour UNIX).
3. Ajoutez les informations suivantes la section Java_Options du fichier :
set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf -Djava.security.krb5.co
nf=C:/XXX/krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
4. Redmarrez le domaine de WebLogic qui excute les applications de la plateforme de BI.
Pour modifier les options Java pour Kerberos sur Oracle Application Server
Si vous utilisez Kerberos avec Oracle Application Server, vous devez modifier les options Java pour
indiquer l'emplacement du fichier de configuration Kerberos.
2012-05-10 280
Authentification
1. Connectez-vous la console d'administration d'Oracle Application Server.
2. Cliquez sur le nom de l'instance OC4J qui excute les applications de la plateforme de BI.
3. Slectionnez Server Properties (proprits du serveur).
4. Accdez la section Multiple VM Configuration (configuration VM multiple).
5. Dans la section Command Line Options (options de ligne de commande), ajoutez le texte suivant
la fin du champ de texte Java Options (options Java) : -Djava.security.krb5.co
nf=C:/XXXX/krb5.ini en remplaant XXXX par l'emplacement de stockage du fichier.
6. Redmarrez votre instance d'OC4J.
Pour modifier les options Java pour Kerberos sur WebSphere
1. Connectez-vous la console d'administration de WebSphere.
Pour IBMWebSphere 5,1, saisissez http://nomserveur:9090/admin. Pour IBMWebSphere 6.0,
saisissez http://nomserveur:9060/admin/
2. Dveloppez Serveur, cliquez sur Serveurs d'applications, puis sur le nom du serveur d'applications
que vous avez cr pour l'utiliser avec la plateforme de BI.
3. Accdez la page JVM.
Si vous utilisez WebSphere 5.1, effectuez les tapes suivantes pour accder la page JVM.
a. Faites dfiler la page du serveur vers le bas jusqu' ce qu'apparaisse Dfinition de processus
dans la colonne Autres proprits.
b. Cliquez sur Dfinition de processus.
c. Faites dfiler l'cran vers le bas et cliquez sur Machine virtuelle Java.
Si vous utilisez WebSphere 6.0, effectuez les tapes suivantes pour accder la page JVM.
a. Dans la page du serveur, slectionnez Gestion de processus et Java.
b. Slectionnez Dfinition de processus.
c. Slectionnez Machine virtuelle Java.
4. Cliquez sur Arguments JVM gnriques, puis saisissez l'emplacement du fichier Krb5.ini et du
fichier bscLogin.conf.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
5. Cliquez sur Appliquer, puis sur Enregistrer.
6. Arrtez puis redmarrez le serveur.
8.4.3 Connexion unique d'authentification AD
2012-05-10 281
Authentification
8.4.3.1 Options de la connexion unique d'authentification Windows AD
Deux mthodes sont prises en charge pour configurer une connexion unique d'authentification Windows
AD avec SAP BusinessObjects Enterprise :
Connexion unique Vintela - cette option ne peut tre utilise qu'avec Kerberos.
Connexion unique avec SiteMinder - cette option ne peut tre utilise qu'avec Kerberos.
Remarque :
Le scnario de connexion unique le plus courant implique un accs l'application de zone de lancement
BI, dont le dploiement n'est possible que sur un serveur d'applications Java. La connexion unique
pour la zone de lancement BI n'est disponible que via Kerberos.
8.4.3.2 Prparation la connexion unique d'authentification Windows AD
8.4.3.2.1 Configuration de l'authentification Windows AD (Kerberos) avec la connexion unique
Vintela
La section suivante prsente dans le dtail les tches requises pour configurer la plateforme de BI en
vue d'un fonctionnement avec l'authentification Windows AD et la connexion unique Vintela.
Remarque :
Les tches de configuration prrequises pour l'authentification Windows AD ainsi que pour la tche de
connexion unique Vintela spcifique doivent tre acheves avant de configurer les options
d'authentification Windows AD dans la CMC.
Rubriques associes
Configuration d'un compte de service pour l'authentification AD avec Kerberos
Prparation des serveurs l'authentification Windows AD avec Kerberos
Prparation du serveur d'applications l'authentification Windows AD (Kerberos)
8.4.3.2.2 Workflow de configuration de Kerberos et de la connexion unique pour la zone de
lancement BI Java
Pour configurer la plateforme de BI en vue d'un fonctionnement avec l'authentification Windows AD et
la connexion unique Vintela, vous devez excuter les tches suivantes :
1. Crez et configurez un compte de service qui sera utilis pour la connexion unique Vintela.
2. Configurez votre dploiement de la plateforme de BI pour qu'il fonctionne sous le compte de service.
2012-05-10 282
Authentification
3. Configurez les proprits gnrales de BOE et les proprits spcifiques la zone de lancement
BI pour la connexion unique Vintela.
4. Augmentez la limite de taille d'en-tte du serveur d'applications Java.
5. Configurez les navigateurs Internet pour la connexion unique Vintela
6. Configurez une restriction de dlgation pour la connexion unique Vintela (facultatif).
Une fois toutes ces tches effectues, vous pouvez configurer les options d'authentification Windows
AD dans la CMC.
8.4.3.2.3 Pour configurer le compte de service pour la connexion unique Vintela
Vous devez configurer un nouveau compte de service sur le contrleur du domaine pour activer
correctement la connexion unique Vintela pour l'authentification Windows AD. Ce compte de service
sera utilis spcifiquement pour permettre aux utilisateurs d'un groupe Windows AD prcis de se
connecter la zone de lancement BI. Cette tche est effectue sur l'ordinateur du contrleur du domaine
AD. Les tapes 1 5 ci-dessous sont requises pour utiliser Windows AD avec Kerberos, alors que les
tapes 6 et 7 sont spcifiques la configuration de la connexion unique Vintela.
1. Crez un compte de service avec un mot de passe sur le contrleur de domaine principal.
2. Excutez la commande de configuration keytab de Kerberos ktpass pour crer et placer un fichier
keytab.
Vous devrez spcifier les paramtres ktpass rpertoris dans le tableau suivant :
Description
Para
mtre
Indique le nom du fichier keytab Kerberos gnrer. -out
Indique le nom principal utilis pour le compte de service. Ce paramtre doit tre
spcifi au format SPN.
Remarque :
Le nom de votre compte de service respecte la casse. Un SPN inclut toujours le nom
de l'ordinateur hte sur lequel l'instance de service est excute.
Conseil :
Le SPN doit tre unique dans la fort dans laquelle il est enregistr. L'une des faons
de le vrifier consiste utiliser l'outil d'assistance Windows Ldp.exe pour rechercher
le SPN.
-princ
Indique le nom du compte utilisateur auquel le -princ (ci-dessus) est mapp. Il s'agit
du compte sous lequel le Server Intelligence Agent s'excute.
-mapu
ser
Indique le mot de passe utilis par le compte de service. -pass
Indique le type principal. Doit tre spcifi comme suit :
-ptype KRB5_NT_PRINCIPAL
-ptype
2012-05-10 283
Authentification
Description
Para
mtre
Spcifie quel type de cryptage utiliser avec le compte de service. Utilisez les indica-
tions suivantes :
-crypto RC4-HMAC-NT
-crypto
Par exemple :
ktpass -out keytab_filename.keytab -princ
MYSIAMYSERVER/sbo.service.DOMAIN.COM
-mapuser sbo.serviceDOMAIN.COM -pass password
-kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
Le rsultat de la commande ktpass doit confirmer le contrleur de domaine cible et la cration
d'un fichier keytab Kerberos contenant le secret partag. La commande mappe galement le nom
principal du compte de service (local).
3. Excutez la commande setspn -l pour vrifier que la commande ktpass a t correctement
excute.
Le rsultat affich rpertorie tous les noms principaux de service enregistrs sur le compte de service
local.
4. Cliquez avec le bouton droit de la souris sur le compte cr au cours de l'tape 1, slectionnez
Proprits > Dlgation.
5. Cliquez sur Approuver cet utilisateur pour la dlgation tous les services (Kerberos
uniquement).
6. Utilisez la commande setspn -a pour ajouter les noms de service HTTP principaux au compte
de service cr au cours de l'tape 1. Indiquez les noms principaux de service du serveur, le serveur
de domaine complet et l'adresse IP de l'ordinateur sur lequel est dploye la zone de lancement
BI.
Par exemple :
setspn -a HTTP/servername servicename
setspn -a HTTP/servernamedomain servicename
setspn -a HTTP/<ip address of server> servicename
O nomserveur dsigne le nom du serveur sur lequel la zone de lancement BI est dploye et
domainenomserveur reprsente le nom de domaine complet de celui-ci.
7. Excutez setspn -l nomservice pour vrifier que les noms de service HTTP principaux ont
t ajouts au compte de service.
Le rsultat affich de la commande doit inclure tous les noms de service enregistrs, comme l'illustre
l'exemple ci-dessous :
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/servername.DOMAIN.com
HTTP/servername
servername/servicenameDOMAIN.com
Sur le compte de service, tous les noms de service principaux requis ont t ajouts, et le fichier keytab
requis a t cr.
2012-05-10 284
Authentification
Pour que la connexion unique Vintela fonctionne, vous devez configurer les serveurs de la plateforme
de BI, modifier les proprits de la zone de lancement BI et copier le fichier keytab dans le rpertoire
appropri.
8.4.3.2.4 Prparation des serveurs pour la connexion unique Vintela
Avant d'excuter cette tche :
Ajoutez l'ordinateur sur lequel sont dploys les serveurs de la plateforme de BI au domaine principal
et confirmez que tous les suffixes DNS requis ont t ajouts.
Vous devez avoir le fichier keytab cr pour l'authentification AD avec Kerberos.
1. Copiez le fichier keytab Kerberos dans un emplacement de l'ordinateur hbergeant les serveurs de
la plateforme de BI.
2. Ajoutez le compte de service Kerberos au groupe Administrateur sur l'ordinateur hte.
Donnez au nom du compte le format suivant : NOMDOMAINE\nom du service.
3. Ajoutez le compte de service Kerberos aux droits systme suivants dans la console MMCde stratgie
de scurit locale :
Impact Droit systme
Permet un processus d'emprunter l'identit
de n'importe quel utilisateur sans requte d'au-
thentification
Agir en tant que partie du systme d'exploi-
tation
Permet un utilisateur d'tre connect via un
utilitaire d'arrive par lot
Connexion en tant que traitement par lots
Permet un compte de service d'enregistrer un
processus en tant que service
Connexion en tant que service
Permet un compte d'appeler l'API CreatePro-
cessAsUser() et ainsi, d'autoriser un service
en dmarrer un autre
Remplacer un jeton au niveau du processus
Vous devez excuter les serveurs de la plateforme de BI sous le compte de service.
4. Accdez Programmes > Plateforme SAP BusinessObjects Business Intelligence 4 >
Plateforme SAP BusinessObjects Business Intelligence > Central Configuration Manager.
5. Dans le Central Configuration Manager, cliquez avec le bouton droit sur le SIA (Server Intelligence
Agent) et slectionnez Arrter.
6. Cliquez avec le bouton droit sur le SIA et slectionnez Proprits.
7. Dsactivez la case cocher Compte de systme.
8. Saisissez les rfrences de connexion du compte Kerberos (NOMDOMAINE\nom service) de
l'tape 2 et cliquez sur OK.
9. Redmarrez le SIA.
Pour effectuer la configuration de la connexion unique Vintela :
2012-05-10 285
Authentification
Prparez les proprits du serveur d'applications Web et de la zone de lancement BI pour la
connexion unique Vintela.
Configurez le plug-in de scurit de Windows AD pour autoriser l'authentification Windows AD et
la connexion unique Vintela.
8.4.3.2.5 Activation de la connexion unique Vintela pour la zone de lancement BI et
OpenDocument
Cette procdure peut tre utilise pour les applications Web zone de lancement BI et OpenDocument.
Les paramtres de la connexion unique Vintela doivent tre spcifis pour le plug-in de scurit Windows
AD, mais aussi pour les proprits BOE.war.
1. Accdez au dossier personnalis pour l'application Web BOE sur l'ordinateur hbergeant le serveur
d'applications Web.
Si vous utilisez le serveur d'applications Web Tomcat fourni avec l'installation de la plateforme de
BI, vous pouvez directement accder au rpertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-
INF\config\custom\
Conseil :
Si vous utilisez un serveur d'applications Web ne permettant pas l'accs direct aux applications
Web dployes, vous pouvez utiliser le dossier suivant dans l'installation de votre produit pour
modifier l'application Web BOE.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
Vous devrez redployer ultrieurement l'application Web BOE modifie.
2. Crez un fichier.
Remarque :
Utilisez Notepad ou tout autre diteur de texte.
3. Saisissez les informations suivantes :
sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=[YOUR_REALM]
idm.princ=[YOUR_PRINCIPAL]
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.logger.props=error-log.properties
Remarque :
Les paramtres idm.realm et idm.princ requirent des valeurs valides. idm.realm doit avoir la mme
valeur que celle dfinie lors de la configuration de default_realm dans votre fichierkrb5.ini. Cette
valeur doit tre en majuscules. Le paramtre idm.princ est le SPN utilis pour le compte de service
cr pour la connexion unique Vintela.
4. Si vous avez choisi d'utiliser un fichier keytab, ajoutez le paramtre keytab et indiquez le chemin
d'accs au fichier selon l'exemple ci-dessous :
idm.keytab=C:/WIN/filename.keytab
2012-05-10 286
Authentification
Remarque :
Les barres obliques sont obligatoires lors de la spcification d'emplacement du fichier. L'utilisation
de barres obliques inverses rompra la connexion unique.
Passez l'tape suivante si vous ne souhaitez pas utiliser de restriction de dlgation pour
l'authentification Windows AD et la connexion unique Vintela.
5. Pour utiliser l'ajout de restriction de dlgation, ajoutez :
idm.allowS4U=true
6. Fermez le fichier et enregistrez-le sous le nom global.properties :
Remarque :
Vrifiez que le nom de fichier n'est pas enregistr sous une autre extension telle que .txt.
7. Crez un autre fichier dans le mme rpertoire. Enregistrez le fichier sous OpenDocument.pro
perties ou BIlaunchpad.properties selon vos besoins.
8. Entrez l'instruction suivante :
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=secWinAD
cms.default=mycms:6400
9. Enregistrez le fichier et fermez-le.
10. Redmarrez le serveur d'applications Web.
Les nouvelles proprits ne prendront effet qu'aprs le redploiement de l'application Web BOE sur
l'ordinateur excutant le serveur d'applications Web. Utilisez Wdeploy pour redployer BOE sur le
serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le dploiement
d'applications Web, voir le Guide de dploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
Remarque :
Si votre dploiement utilise un pare-feu, pensez ouvrir tous les ports requis, sans quoi les applications
Web ne parviendront pas se connecter aux serveurs de la plateforme de BI.
Rubriques associes
Exemple de fichier Krb5.ini avec plusieurs domaines
Prparation du serveur d'applications l'authentification Windows AD (Kerberos)
8.4.3.2.6 Pour augmenter la limite de taille d'en-tte pour Tomcat
Active Directory cre un jeton Kerberos utilis lors de la procdure d'authentification. Ce jeton est stock
dans l'en-tte HTTP. Votre serveur d'applications Java aura une taille d'en-tte HTTP par dfaut. Pour
viter les erreurs, vrifiez que sa taille par dfaut minimale est de 16384 octets. (Certains dploiement
peuvent ncessiter une taille suprieure. Pour en savoir plus, voir les directives de dimensionnement
de Microsoft sur son site de support (http://support.microsoft.com/kb/327825).)
1. Sur le serveur sur lequel Tomcat est install, ouvrez le fichier server.xml.
2012-05-10 287
Authentification
Sous Windows, il est situ dans <REPINSTALLTomcat>/conf
Si vous utilisez la version de Tomcat installe avec la plateforme de BI sous Windows et que
vous n'avez pas modifi
d'installation par dfaut, remplacez <REPINSTALLTomcat> par :C:\Program Files
(x86)\SAP BusinessObjects\Tomcat6\
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation
de votre serveur d'applications Web pour dterminer le chemin appropri.
2. Recherchez la balise <Connector > du numro de port que vous avez configur.
Si vous utilisez le port par dfaut 8080, recherchez la balise <Connector > comportant port=8080.
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>
3. Ajoutez la valeur suivante dans la balise <Connector > :
maxHttpHeaderSize="16384"
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4. Enregistrez et fermez le fichier server.xml.
5. Redmarrez Tomcat.
Remarque :
Pour les autres serveurs d'applications Java, consultez la documentation correspondante.
8.4.3.2.7 Configuration des navigateurs Internet
Pour prendre en charge la connexion unique Kerberos, vous devez configurer les clients de la plateforme
de BI. Cela implique de configurer le navigateur Internet Explorer (IE) sur les ordinateurs client.
Pour configurer Internet Explorer sur les ordinateurs client
1. Sur l'ordinateur client, ouvrez une fentre de navigateur Internet Explorer.
2. Activez l'authentification intgre de Windows.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Avanc.
c. Accdez Scurit, slectionnez Activer l'authentification intgre de Windows, puis cliquez
sur Appliquer.
2012-05-10 288
Authentification
3. Ajoutez le serveur d'applications Java ou l'URL des sites fiables. Vous pouvez saisir le nom de
domaine complet du site.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Scurit.
c. Cliquez sur Sites, puis sur Avancs.
d. Slectionnez ou saisissez le site, puis cliquez sur Ajouter.
e. Cliquez sur OK jusqu' ce que la bote de dialogue Options Internet se ferme.
4. Fermez et rouvrez la fentre de navigateur Internet Explorer pour appliquer ces modifications.
5. Rptez toutes ces tapes pour chaque ordinateur client de la plateforme de BI.
Pour configurer Firefox sur les ordinateurs client
1. Modifiez network.negotiate-auth.delegation-uris
a. Sur l'ordinateur client, ouvrez une fentre de navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL. Une liste de proprits configurables
s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.delegation-uris pour modifier la proprit.
d. Saisissez l'URL que vous utiliserez pour accder la zone de lancement BI. Par exemple, si
l'URL de votre zone de lancement BI est http://ordinateur.domaine.com:8080/BOE/BI, vous
devrez saisir http://ordinateur.domaine.com.
Remarque :
Pour ajouter plusieurs URL, sparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
2. Modifiez network.negotiate-auth.trusted-uris
a. Sur l'ordinateur client, ouvrez une fentre de navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL. Une liste de proprits configurables
s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.trusted-uris pour modifier la proprit.
d. Saisissez l'URL que vous utiliserez pour accder la zone de lancement BI. Par exemple, si
l'URL de votre zone de lancement BI est http://ordinateur.domaine.com:8080/BOE/BI, vous
devrez saisir http://ordinateur.domaine.com.
Remarque :
Pour ajouter plusieurs URL, sparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
3. Fermez et rouvrez la fentre de navigateur Firefox pour appliquer ces modifications.
4. Rptez toutes ces tapes pour chaque ordinateur client de la plateforme de BI.
2012-05-10 289
Authentification
8.4.3.2.8 Pour configurer une restriction de dlgation pour la connexion unique Vintela
La restriction de dlgation est facultative pour l'authentification Windows AD et la connexion unique
Vintela. Elle est requise pour les scnarios de dploiement impliquant une connexion unique la base
de donnes systme.
1. Sur l'autre ordinateur du contrleur du domaine AD, ouvrez le snap-in "Utilisateurs et ordinateurs"
Active Directory.
2. Cliquez avec le bouton droit de la souris sur le compte de service cr pour la connexion unique
Vintela, puis cliquez sur Proprits > Dlgation.
3. Slectionnez N'approuver cet ordinateur que pour la dlgation aux services spcifis.
4. Slectionnez Utiliser uniquement Kerberos.
5. Cliquez sur Ajouter > Utilisateurs ou ordinateurs.
6. Saisissez le nom du compte (utilis pour la connexion unique Vintela), puis cliquez sur OK.
Une liste de services s'affiche.
7. Slectionnez les services suivants, puis cliquez sur OK.
Le service HTTP
Le service utilis pour excuter le SIA (Service Intelligence Agent) sur l'ordinateur hbergeant
la plateforme de BI.
Les services sont ajouts la liste de services pouvant tre dlgus pour le compte (de connexion
unique Vintela).
Vous devez modifier les proprits de l'application Web pour justifier cette modification. Ouvrez le fichier
global.properties de BOE sur votre serveur d'applications Web. Ajoutez les lments suivants, puis
redmarrez le serveur d'applications Web.
idm.allowS4U=true
8.4.3.3 Utilisation de SiteMinder
8.4.3.3.1 Utilisation de Windows AD avec SiteMinder
Cette section explique comment utiliser AD et SiteMinder. SiteMinder est un outil tiers qui permet
l'authentification et l'accs des utilisateurs et qui peut tre employ avec le plug-in de scurit AD pour
crer une connexion unique la plateforme de BI. Vous pouvez utiliser SiteMinder avec Kerberos.
Assurez-vous que les ressources de gestion de l'identit de SiteMinder sont installes et configures
avant de configurer l'authentification Windows AD en vue d'un fonctionnement avec SiteMinder. Pour
en savoir plus sur SiteMinder et sur son installation, reportez-vous sa documentation.
Pour activer la connexion unique AD avec SiteMinder, vous devez excuter deux tches :
Configurer le plug-in AD pour la connexion unique avec SiteMinder
2012-05-10 290
Authentification
Configurer les proprits de SiteMinder pour l'application Web BOE
Remarque :
Vrifiez que l'administrateur SiteMinder a activ la prise en charge des agents 4.x. Cette activation doit
tre effectue quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur la configuration de SiteMinder, reportez-vous la documentation relative SiteMinder.
Modification du fichier de proprits BOE pour l'authentification Windows AD avec SiteMinder
Les paramtres de SiteMinder doivent tre spcifis pour le plug-in de scurit Windows AD, mais
aussi pour le fichier de proprits war de BOE.
1. Recherchez le rpertoire <REP_INSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme
de BI.
2. Crez un fichier dans le rpertoire l'aide de Notepad ou d'un autre diteur de texte.
3. Dans le nouveau fichier, saisissez les valeurs suivantes :
sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true
4. Enregistrez le fichier sous le nom global.properties et fermez-le.
Remarque :
Vrifiez que le nom de fichier n'est pas enregistr avec une autre extension telle que .txt.
5. Crez un autre fichier dans le mme rpertoire.
6. Dans le nouveau fichier, saisissez les valeurs suivantes :
authentication.default=secWinAD
cms.default=[cms name]:[CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
7. Enregistrez le fichier sous le nom BIlaunchpad.properties et fermez-le.
Les nouvelles proprits ne prennent effet qu'aprs redploiement de BOE.war sur l'ordinateur excutant
le serveur d'applications Web. Utilisez WDeploy pour redployer le fichier WAR sur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le dploiement
d'applications Web, voir le Guide de dploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.
Pour dsactiver SiteMinder
Si vous souhaitez empcher la configuration de SiteMinder ou le dsactiver aprs sa configuration
dans la CMC, modifiez le fichier de configuration Web pour la zone de lancement BI.
2012-05-10 291
Authentification
Dsactivation de SiteMinder pour les clients Java
Les paramtres de SiteMinder doivent tre dsactivs pour le plug-in de scurit Windows AD, mais
aussi pour le fichier war BOE sur le serveur d'applications Web.
1. Accdez au rpertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Ouvrez le fichier global.properties.
3. Passez siteminder.enabled false
siteminder.enabled=false
4. Enregistrez les modifications et fermez le fichier.
La modification ne prend effet qu'aprs redploiement de BOE.war sur l'ordinateur excutant le serveur
d'applications Web. Utilisez WDeploy pour redployer le fichier WARsur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le dploiement d'applications Web, voir
le Guide de dploiement d'applications Web de la plateforme SAPBusinessObjects Business Intelligence.
8.4.4 Mappage des groupes AD et configuration de l'authentification AD
8.4.4.1 Pour mapper les utilisateurs et groupes AD et configurer le plug-in de
scurit Windows AD
Pour configurer l'authentification Windows ADen vue d'un fonctionnement avec un type d'authentification
particulier, procdez toutes les tches de prparation requises. Voir les Rubriques associes pour
les liens vers les tches.
Quel que soit le protocole utilis, vous devez excuter les tapes suivantes pour permettre aux
utilisateurs AD de s'authentifier. Suivez les tapes de 1 7 pour importer les groupes AD sur la
plateforme de BI.
1. Dans la zone de gestion "Authentification" de la CMC, cliquez deux fois sur Windows AD.
2. Slectionnez Activer Windows Active Directory (AD).
3. Sous Synthse de configuration d'AD, cliquez sur le lien prs de Nom d'administration AD.
Remarque :
Avant que le plug-in de Windows AD ne soit configur, ce lien apparat sous forme de guillemets.
Aprs enregistrement de la configuration, le lien est rempli avec les noms des administrateurs AD.
2012-05-10 292
Authentification
4. Entrez le nom et le mot de passe d'un compte utilisateur du domaine activ en utilisant un des
formats suivants :
Nom NT : (NomDomaine\NomUtilisateur)
UPN : (utilisateur@nom_domaine_DNS)
La plateforme de BI utilise ce compte pour demander des informations AD. Elle ne modifie, ajoute
ou supprime aucun contenu d'AD, elle lit uniquement les informations.
Remarque :
L'authentification AD ne continue pas si le compte AD utilis pour lire l'annuaire AD devient non
valide (par exemple, si le mot de passe du compte est modifi ou expire, ou si le compte est
dsactiv).
5. Entrez les informations dans la zone Domaine AD par dfaut.
Vous pouvez mapper les groupes du domaine par dfaut sans spcifier le prfixe du nomde domaine.
Si vous saisissez un nom de domaine AD par dfaut, les utilisateurs du domaine par dfaut n'ont
pas le spcifier lorsqu'ils se connectent la plateforme de BI via l'authentification AD.
6. Sous "Groupes de membres AD mapps", entrez le domaine\groupe AD dans la zone Ajouter
groupe AD (domaine\groupe), en utilisant un des formats suivants :
nom de compte du gestionnaire de comptes de scurit (SAM, Security Account Manager),
galement appel nom NT (NomDomaine\NomGroupe)
DN (cn=NomGroupe, ......, dc=NomDomaine, dc=com)
Remarque :
Pour mapper un groupe local, utilisez uniquement le format de nom NT (\\NomServeur\Nom
Groupe). AD ne prend pas en charge les utilisateurs locaux, ceux qui appartiennent un groupe
local mapp ne sont pas mapps la plateforme de BI. Par consquent, ils ne peuvent pas accder
au systme.
7. Cliquez sur Ajouter.
Le groupe est ajout la liste.
Remarque :
Pour importer des comptes de groupe AD sans configurer les options de l'authentification AD ou
les mises jour de groupe AD, passez les tapes 8 18.
8. Si vous avez slectionn Utiliser l'authentification Kerberos :
a. Pour configurer la connexion unique une base de donnes, slectionnez Contexte de scurit
de la mmoire cache.
b. Dans la zone Nom principal du service, saisissez le SPN mapp au compte de service.
Remarque :
Pour configurer la plateforme de BI pour l'authentification Kerberos et AD l'aide de Kerberos,
vous devez avoir un compte de service. Vous pouvez utiliser un compte de domaine existant ou
en crer un nouveau. Le compte de service sera utilis pour excuter les serveurs de la
plateforme. Pour activer l'authentification ADavec la connexion unique Vintela, vous devez fournir
un UPN configur cet effet.
2012-05-10 293
Authentification
Conseil :
En cas de connexion manuelle la zone de lancement BI, les utilisateurs d'autres domaines
doivent faire suivre leur nom d'utilisateur du nom du domaine en majuscules, par exemple
utilisateur@ENFANT.DOMAINEPARENT.COM.
9. Pour configurer une connexion unique, slectionnez Activer la connexion unique pour le mode
d'authentification slectionn.
Pour activer une connexion unique, vous devez galement configurer les proprits gnrales des
applications Web BOE ainsi que les proprits de la zone de lancement BI.
10. Dans la zone "Synchronisation des rfrences de connexion", slectionnez une option et mettez
jour les rfrences de la source de donnes de l'utilisateur AD au moment de la connexion.
Cela synchronise la source de donnes avec les rfrences de connexion actuelles de l'utilisateur.
11. Utilisez la zone Options de SiteMinder pour configurer SiteMinder comme option de connexion
unique pour l'authentification AD avec Kerberos.
Remarque :
Vous pouvez configurer Vintela ou SiteMinder comme option de connexion unique. Effacez toutes
les entres dans la zone Nom principal du service (tape 9b) si vous souhaitez configurer les
options de SiteMinder.
a. Cliquez sur Dsactiv.
La page "Configuration SiteMinder de Windows AD" s'affiche. Si vous n'avez pas configur le
plug-in Windows AD, lorsque vous tes invit continuer, cliquez sur OK.
b. Cliquez sur Utiliser la connexion unique SiteMinder.
c. Dans la zone Hte serveur de rgles, saisissez le nom de chaque serveur de rgles, puis
cliquez surAjouter.
d. Pour chaque "Hte serveur de rgles", indiquez le numro de port de Comptabilisation,
Authentification et Autorisation.
e. Saisissez le Nom d'agent et le Secret partag, puis saisissez nouveau le Secret partag.
Remarque :
Vrifiez que l'administrateur SiteMinder a activ la prise en charge des agents 4.x. Cette activation
doit tre effectue quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour
en savoir plus sur SiteMinder et sur son installation, voir sa documentation.
f. Cliquez sur Mettre jour pour enregistrer vos informations et revenir la page principale
d'authentification AD.
12. Sous "Options d'alias AD", spcifiez comment ajouter des alias et les mettre jour dans la plateforme
de BI :
a. Sous "Options de nouvel alias", spcifiez comment mapper les nouveaux alias aux comptes
Enterprise :
Affecter chaque nouvel alias AD un compte utilisateur existant portant le mme nom
Utilisez cette option lorsque vous savez que certains utilisateurs possdent un compte
Enterprise portant le mme nom; cela signifie que les alias ADseront affects aux utilisateurs
existants (la cration d'alias automatique est active). Les utilisateurs dpourvus de compte
2012-05-10 294
Authentification
Enterprise ou ne portant pas le mme nomdans leurs comptes Enterprise et AD, sont ajouts
en tant que nouveaux utilisateurs.
Crer un nouveau compte utilisateur pour chaque nouvel alias AD
Utilisez cette option pour crer un compte pour chaque utilisateur.
b. Sous "Options de mise jour des alias", spcifiez le mode de gestion des mises jour des alias
pour les comptes Enterprise :
Crer de nouveaux alias lors de la mise jour des alias
Utilisez cette option pour crer automatiquement un nouvel alias pour chaque utilisateur AD
mapp la plateforme de BI. De nouveaux comptes AD sont ajouts pour les utilisateurs
dpourvus de comptes pour la plateforme de BI, ou pour tous les utilisateurs si vous avez
slectionn l'option Crer un nouveau compte utilisateur pour chaque nouvel alias AD
et cliqu sur Mettre jour.
Crer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Utilisez cette option si l'annuaire AD que vous mappez contient plusieurs utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme de BI ne cre pas
automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Il cre plutt des
alias (et des comptes, le cas chant) uniquement pour les utilisateurs qui se connectent
la plateforme de BI.
c. Sous "Options de nouvel utilisateur", slectionnez une des options suivantes :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences
Utilisateurs nomms. Les licences Utilisateur nomm sont associes des utilisateurs
particuliers qui peuvent accder au systme en saisissant un nom d'utilisateur et un mot de
passe. Ainsi, les utilisateurs nomms peuvent accder au systme, quel que soit le nombre
de personnes connectes. Il faut qu'une licence Utilisateurs nomms soit disponible pour
chaque compte d'utilisateur cr l'aide de cette option.
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences
Utilisateurs simultans. Les licences d'accs simultans spcifient le nombre d'utilisateurs
pouvant se connecter en mme temps la plateforme de BI. Cette licence est tout fait
adapte dans la mesure o elle peut accepter de nombreux utilisateurs. Par exemple, suivant
la frquence et la dure des connexions des utilisateurs au systme, une licence pour 100
utilisateurs simultans peut prendre en charge 250, 500 ou 700 utilisateurs.
13. Pour configurer le mode de planification des mises jour d'alias AD :
a. Cliquez sur Planifier.
b. Dans la bote de dialogue "Planifier", slectionnez une rcurrence dans la liste Excuter l'objet.
c. Dfinissez les options et paramtres de planification selon les besoins.
d. Cliquez sur Planifier.
Lorsque la mise jour des alias se produit, les informations sur le groupe sont galement mises
jour.
2012-05-10 295
Authentification
14. Sous"Options de liaison d'attributs", spcifiez la priorit de liaison d'attributs pour le plug-in AD :
a. Cliquez dans la zone Importer le nom complet, l'adresse lectronique et d'autres attributs.
Les noms complets et les descriptions des comptes AD sont imports et stocks avec les objets
utilisateur sur la plateforme de BI.
b. Spcifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres
liaisons d'attributs.
Si l'option est dfinie sur 1, les attributs AD sont prioritaires dans les scnarios o AD et les
autres plug-ins (LDAP et SAP) sont activs. Si elle est dfinie sur 3, les attributs des autres
plug-ins sont prioritaires.
15. Dans la zone "Options du groupe AD", configurez les mises jour du groupe AD :
a. Cliquez sur Planifier.
La bote de dialogue "Planifier" s'affiche.
b. Slectionnez une rcurrence dans la liste Excuter l'objet.
c. Dfinissez les autres options et paramtres de planification selon les besoins.
d. Cliquez sur Planifier.
Le systme planifie et excute la mise jour selon les informations de planification spcifies. Vous
pouvez visualiser la prochaine mise jour planifie pour les comptes de groupe AD sous "Options
du groupe AD".
16. Sous "Mise jour d'AD la demande", slectionnez une des options suivantes :
Mettre jour le groupe AD maintenant
Slectionnez cette option pour mettre jour les groupes AD planifis. La mise jour commence
ds que vous cliquez sur Mettre jour.
Remarque :
Cette option affecte toutes les mises jour planifies du groupe AD. La prochaine mise jour
planifie du groupe AD est rpertorie sous "Options du diagramme de groupe AD".
Mettre jour les alias et les groupes AD maintenant
Slectionnez cette option pour mettre jour les groupes AD et les alias utilisateur planifis. La
mise jour commence ds que vous cliquez sur Mettre jour
Remarque :
Cette option affecte toutes les mises jour planifies du groupe AD. Les prochaines mises
jour planifies sont rpertories sous "Options du groupe AD" et "Options d'alias AD".
Ne pas mettre jour les alias et les groupes AD maintenant
Slectionnez cette option si vous ne voulez pas mettre jour les groupes et les alias utilisateur
AD. Si vous cliquez sur Mettre jour, ni le groupe ni les alias utilisateur ne seront mis jour.
Remarque :
Cette option affecte toutes les mises jour planifies du groupe ou des alias. Les prochaines
mises jour planifies sont rpertories sous "Options du groupe AD" et "Options d'alias AD".
17. Cliquez sur Mettre jour, puis sur OK.
2012-05-10 296
Authentification
Rubriques associes
Connexion unique avec Windows AD
Utilisation de Windows AD avec SiteMinder
Utilisation de l'authentification Windows AD avec Kerberos
8.4.5 Dpannage de l'authentification Windows AD
8.4.5.1 Dpannage de votre configuration
Ces deux procdures peuvent vous aider si vous rencontrez des difficults lors de la configuration de
Kerberos :
Activation de la journalisation
Test de la configuration Kerberos du SDK Java
8.4.5.1.1 Pour activer la journalisation
1. Dans le menu Dmarrer, slectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Vous crez ainsi un fichier journal l'emplacement suivant :
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
8.4.5.1.2 Pour tester la configuration Kerberos Java
Excutez la commande suivante pour tester la configuration Kerberos, servant correspondant au
compte de service et au domaine sous lesquels s'excute le CMS et Password au mot de passe
associ au compte de service.
<InstallDirectory>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\servact@TESTM03.COM Password
Par exemple :
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\
servact@TESTM03.COM Password
2012-05-10 297
Authentification
Votre domaine et votre nom de service principal doivent correspondre exactement ceux d'Active
Directory. Si le problme persiste, contrlez si vous avez saisi le mme nom. Pensez que le nom
est sensible la casse.
8.4.5.1.3 Echec de la connexion d des noms UPN et SAM diffrents dans AD
L'ID Active Directory d'un utilisateur a t correctement mapp la plateforme de BI. Malgr cela,
l'utilisateur ne peut pas se connecter la CMC ou la zone de lancement BI avec l'authentification
Windows AD et Kerberos au format suivant : DOMAIN\ABC123
Ce problme peut se produire lorsque l'utilisateur est configur dans Active Directory avec un nom
UPN et un nom SAM qui ne sont pas exactement identiques. Les exemples suivants peuvent causer
un problme :
Le nom UPN est abc123@company.com mais le nom SAM est DOMAIN\ABC123.
Le nom UPN est jsmith@company mais le nom SAM est DOMAIN\johnsmith.
Il y a deux faons de traiter ce problme :
Demandez aux utilisateurs de se connecter l'aide de leurs noms UPN plutt que de leurs noms
SAM.
Vrifiez que le nom de compte SAM et le nom UPN sont identiques.
8.4.5.1.4 Erreur de pr-authentification
Un utilisateur qui a pu se connecter au pralable ne parvient plus le faire. Il obtient le message d'erreur
suivant : Informations de compte non reconnues. Les journaux d'erreur Tomcat font tat de l'erreur
suivante : "Pre-authentication information was invalid (24)" (Informations de
pr-authentification non valides).
Ceci peut se produire lorsque la base de donnes d'utilisateurs Kerberos n'a pas t mise jour aprs
un changement d'UPN dans AD. Ceci peut galement indiquer que la base de donnes d'utilisateurs
Kerberos et les informations AD ne sont pas synchronises.
Pour rsoudre ce problme, rinitialisez le mot de passe de l'utilisateur dans AD. Ainsi, les modifications
seront correctement diffuses.
Remarque :
Ce problme n'en est pas un dans J2SE 5.0.
8.5 Authentification SAP
2012-05-10 298
Authentification
8.5.1 Configuration de l'authentification SAP
Cette section explique comment configurer l'authentification de la plateforme de BI pour votre
environnement SAP.
L'authentification SAP permet aux utilisateurs SAP de se connecter la plateforme de BI l'aide de
leurs noms d'utilisateur et mots de passe SAP, sans stocker ces mots de passe dans la plateforme de
BI. Elle permet galement de conserver les informations relatives aux rles utilisateur dans SAP, et
d'utiliser ces informations sur la plateforme pour affecter des droits permettant d'effectuer des tches
administratives ou d'accder un contenu.
Accs l'application d'authentification SAP
Vous devez fournir la plateforme de BI des informations sur votre systme SAP. Vous pouvez accder
une application Web ddie via l'outil d'administration principal de la plateforme de BI, la Central
Management Console (CMC). Pour y accder depuis la page d'accueil de la CMC, cliquez sur
Authentification.
Authentification des utilisateurs SAP
Les plug-ins de scurit dveloppent et personnalisent la manire dont la plateforme de BI authentifie
les utilisateurs. La fonction Authentification SAP inclut un plug-in de scurit SAP (secSAPR3.dll)
pour le composant CMS (Central Management Server) de la plateforme de BI. Ce plug-in de scurit
SAP offre plusieurs avantages cls :
Il agit comme un fournisseur d'authentification qui compare les rfrences de connexion de l'utilisateur
celles du systme SAP pour le compte du CMS. Lorsque les utilisateurs se connectent directement
la plateforme de BI, ils peuvent choisir l'authentification SAP et fournir leurs nom d'utilisateur et
mot de passe SAP habituels. La plateforme de BI peut galement valider les tickets de connexion
du portail Enterprise dans les systmes SAP.
Il facilite la cration de compte en permettant de mapper les rles de SAP aux groupes d'utilisateurs
de la plateforme de BI, ainsi que la gestion des comptes en permettant d'affecter des droits aux
utilisateurs et aux groupes de manire cohrente au sein de la plateforme de BI.
Il tient jour les listes de rles SAP de faon dynamique. Ainsi, lorsque vous mappez un rle SAP
sur la plateforme, tous les utilisateurs appartenant ce rle peuvent se connecter au systme. Si,
par la suite, vous modifiez l'appartenance au rle SAP, vous n'avez pas besoin de mettre jour ou
d'actualiser la liste sur la plateforme de BI.
Le composant d'authentification SAP comprend une application Web pour la configuration du plug-in.
Vous pouvez accder cette application dans la zone "Authentification" de la CMC (Central
Management Console).
2012-05-10 299
Authentification
8.5.2 Cration d'un compte utilisateur pour la plateforme de BI
Le systme de la plateforme de BI requiert un compte utilisateur SAP autoris accder aux listes
d'appartenance aux rles SAP et authentifier les utilisateurs SAP. Vous avez besoin des rfrences
de connexion pour connecter la plateforme de BI votre systme SAP. Pour en savoir plus sur la
manire de crer des comptes utilisateur SAP et d'affecter des droits via les rles, consultez votre
documentation SAP BW.
Utilisez la transaction SU01 pour crer un nouveau compte d'utilisateur SAP appel CRYSTAL. Utilisez
la transaction PFCG pour crer un nouveau rle appel CRYSTAL_ENTITLEMENT. Notez que ces noms
sont recommands mais pas obligatoires. Modifiez l'autorisation du nouveau rle en dfinissant les
valeurs des objets d'autorisation suivants :
Valeur Champ Objet d'autorisation
Lecture, criture (33, 34) Activit (ACTVT)
Autorisation d'accs aux fichiers
(S_DATASET)
* (signifie TOUS)
Nom de fichier physique (FILE-
NAME)
*
Nom de programme ABAP
(PROGRAM)
16 Activit (ACTVT)
Contrle des autorisations pour
accs RFC (S_RFC)
BDCH, STPA, SUSO, BDL5,
SUUS, SU_USER, SYST, SUNI,
RFC1, SDIFRUNTIME, PR-
GN_J2EE, /CRYSTAL/SECURI-
TY
Nom de RFC protger
(RFC_NAME)
Groupe de fonctions (FUGR)
Type d'objet RFC protger
(RFC_TYPE)
2012-05-10 300
Authentification
Valeur Champ Objet d'autorisation
Crer ou gnrer, et afficher
(03)
Activit (ACTVT)
Maintenance principale des utili-
sateurs : Groupes d'utilisateurs
(S_USER_GRP)
*
Remarque :
Pour plus de scurit, vous
pouvez rpertorier explicitement
les groupes d'utilisateurs dont
les membres doivent accder
la plateforme de BI.
Groupe d'utilisateurs dans main-
tenance du fichier utilisateur
(CLASS)
Enfin, ajoutez l'utilisateur CRYSTAL au rle CRYSTAL_ENTITLEMENT.
Conseil :
Si les rgles de votre systme exigent que les utilisateurs modifient leur mot de passe la premire
ouverture de session, ouvrez une session avec le compte utilisateur CRYSTAL et redfinissez le mot
de passe.
8.5.3 Connexion aux systmes d'autorisation de SAP
Avant d'importer des rles ou de publier du contenu BW dans la plateforme de BI, vous devez fournir
des informations sur les systmes d'autorisation SAP auxquels vous souhaitez vous intgrer. La
plateforme de BI utilise ces informations pour se connecter au systme SAP cible lors de la dfinition
de l'appartenance aux rles et de l'authentification des utilisateurs SAP.
8.5.3.1 Ajout d'un systme d'autorisation SAP
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramtres des systmes d'autorisation s'affichent.
Conseil :
Si un systme d'autorisation est dj affich dans la liste Nom du systme logique, cliquez sur
Nouveau.
2012-05-10 301
Authentification
3. Dans le champ Systme, saisissez les trois caractres de l'identifiant de votre systme SAP (SID).
4. Dans le champ Client, saisissez le numro de client que la plateforme de BI doit utiliser lorsqu'elle
se connecte votre systme SAP.
La plateforme de BI associe vos informations Systme et Client, puis ajoute une entre la liste
Nom du systme logique.
5. Vrifiez que la case Dsactiv est dcoche.
Remarque :
La case cocher Dsactiv permet d'indiquer la plateforme de BI qu'un systme SAP particulier
est momentanment indisponible.
6. Le cas chant, remplissez les champs Serveur de messagerie et Groupe de connexion si vous
avez configur l'quilibrage de charge pour que la plateforme de BI se connecte via un serveur de
messagerie.
Remarque :
Vous devez dfinir les entres appropries dans le fichier Services de l'ordinateur de votre
plateforme de BI pour activer l'quilibrage de charge, en particulier si le dploiement est effectu
sur plusieurs ordinateurs. Prenez en compte les ordinateurs qui hbergent le CMS, le serveur
d'applications Web et tous les ordinateurs qui grent vos comptes et paramtres d'authentification.
7. Si vous n'avez pas configur l'quilibrage de charge (ou si vous prfrez que la plateforme de BI
se connecte directement au systme SAP), renseignez les champs Serveur d'applications et
Numro du systme selon les besoins.
8. Dans les champs prvus cet effet, saisissez le Nom d'utilisateur, le Mot de passe et la Langue
du compte SAP que doit utiliser la plateforme de BI pour se connecter SAP.
Remarque :
Ces rfrences de connexion doivent correspondre au compte utilisateur que vous avez cr pour
la plateforme de BI.
9. Cliquez sur Mettre jour.
Si vous ajoutez plusieurs systmes d'autorisation, cliquez sur l'onglet Options pour spcifier le systme
que la plateforme de BI utilise par dfaut (c'est--dire le systme contact pour authentifier les utilisateurs
qui tentent de se connecter avec des rfrences de connexion SAP mais sans spcifier un systme
SAP particulier).
Rubriques associes
Cration d'un compte utilisateur pour la plateforme de BI
8.5.3.2 Pour vrifier qu'un systme d'autorisation a t correctement ajout
1. Cliquez sur l'onglet Importation de rle.
2. Slectionnez le systme d'autorisation appropri dans la liste Nom de systme logique.
2012-05-10 302
Authentification
Si celui-ci a t correctement ajout, la liste Rles disponibles contient la liste des rles que vous
pouvez importer.
Conseil :
Si la liste .Rles disponibles ne contient aucun rle, recherchez les ventuels messages d'erreur
sur la page Vous y trouverez peut-tre les informations ncessaires pour rsoudre le problme.
8.5.3.3 Pour dsactiver temporairement une connexion un systme
d'autorisation SAP
Dans la CMC, vous pouvez dsactiver temporairement une connexion entre la plateforme de BI et un
systme d'autorisation SAP. Cette opration peut s'avrer utile pour maintenir la ractivit de la
plateforme de BI, par exemple lors du temps d'arrt planifi d'un systme d'autorisation SAP.
1. Dans la CMC, accdez la zone de gestion Authentification.
2. Cliquez deux fois sur le lien SAP.
3. Dans la liste Nom de systme logique, slectionnez le systme dsactiver.
4. Cochez la case Dsactiv.
5. Cliquez sur Mettre jour.
8.5.4 Dfinition des options d'authentification SAP
L'authentification SAP comprend un certain nombre d'options que vous pouvez spcifier lors de
l'intgration de la plateforme de BI votre systme SAP. Les options incluent :
Activation ou dsactivation de l'authentification SAP
Spcification des paramtres de connexion
Mise en relation des utilisateurs imports aux modles de licence de la plateforme de BI.
Configuration de la connexion unique dans le systme SAP
8.5.4.1 Pour dfinir les options d'authentification SAP
1. Dans la zone de gestion "Authentification" de la CMC, cliquez deux fois sur le lien SAP, puis cliquez
dans l'onglet Options.
2. Vrifiez et modifiez les paramtres, si ncessaire :
2012-05-10 303
Authentification
Description Paramtre
Dcochez cette case si vous souhaitez dsactiver
compltement l'authentification SAP. (Pour dsacti-
ver l'authentification SAP d'un systme SAP spci-
fique, cochez la case Dsactiv du systme en
question dans l'onglet Systme d'autorisation.)
Activer l'authentification SAP
Spcifiez l'emplacement o les Services de plate-
forme d'informations doivent commencer dupliquer
la structure des dossiers BWdans la CMCet la zone
de lancement BI. Par dfaut, il s'agit du dossier
/SAP/2.0, mais vous pouvez indiquer un autre
dossier. Si vous modifiez cette valeur, vous devez
le faire la fois dans la CMC et dans le Workbench
d'administration de contenu.
Racine du dossier de contenu
Slectionnez le systme d'autorisation SAP que la
plateforme de BI utilise par dfaut (c'est--dire, le
systme contact pour authentifier les utilisateurs
qui tentent de se connecter avec des rfrences de
connexion SAPmais sans spcifier de systme SAP
particulier).
Remarque :
Si vous dsignez un systme par dfaut, les utilisa-
teurs de ce systme n'ont pas saisir leur ID sys-
tme et client lorsqu'ils se connectent partir d'outils
client tels que Live Office ou Universe Designer
l'aide de l'authentification SAP. Par exemple, si
SYS~100 est dfini comme systme par dfaut,
SYS~100/utilisateur1 peut se connecter comme
utilisateur1 lorsque l'authentification SAP est slec-
tionne.
Systme par dfaut
Nombre maximal d'checs d'accs au sys-
tme d'autorisation
2012-05-10 304
Authentification
Description Paramtre
Saisissez le nombre de fois que la plateforme doit
ressayer de contacter un systme SAP pour satis-
faire les demandes d'authentification. Lorsque vous
dfinissez la valeur sur -1, la plateforme de BI peut
tenter de contacter indfiniment le systme d'autori-
sation. Si vous dfinissez la valeur sur 0, la plate-
forme de BI n'a droit qu' une seule tentative d'accs
au systme d'autorisation.
Remarque :
Utilisez ce paramtre conjointement Laisser le
systme d'autorisation dsactiv [secondes]
pour configurer la faon dont la plateforme de BI
doit grer les systmes d'autorisation SAP qui sont
momentanment indisponibles. Le systme utilise
ces paramtres pour dterminer quel moment les
communications avec les systmes SAP indispo-
nibles doivent tre interrompues puis reprises.
Saisissez le nombre de secondes pendant les-
quelles la plateforme de BI doit attendre avant de
reprendre les tentatives d'authentification des utili-
sateurs dans le systme SAP. Par exemple, si vous
saisissez la valeur 3 pour Nombre maximal
d'checs d'accs au systme d'autorisation, la
plateforme de BI ne permet que trois tentatives (non
abouties) pour authentifier les utilisateurs sur un
systme SAP spcifique. Au quatrime chec, le
systme interrompt les tentatives d'authentification
des utilisateurs sur ce systme pendant la dure
indique.
Laisser le systme d'autorisation dsactiv
[secondes]
Indiquez le nombre maximal de connexions qui
peuvent tre ouvertes simultanment sur votre sys-
tme SAP. Par exemple, si vous saisissez 2 dans
ce champ, la plateforme de BI garde deux connexio-
ns distinctes SAP ouvertes.
Nombre maximal de connexions simulta-
nes par systme
Indiquez le nombre d'oprations que vous souhaitez
autoriser par connexion au systme SAP. Par exe-
mple, si vous saisissez 2 pour Nombre maximal
de connexions simultanes par systme et 3
pour Nombre d'utilisations par connexion, une
fois les trois sessions ouvertes sur une connexion,
la plateforme de BI ferme la connexion concerne,
puis la relance.
Nombre d'utilisations par connexion
2012-05-10 305
Authentification
Description Paramtre
Indiquez si les comptes des nouveaux utilisateurs
sont configurs pour utiliser des licences Utilisateur
nomm ou Utilisateur simultan. Les licences d'ac-
cs simultans spcifient le nombre d'utilisateurs
pouvant se connecter en mme temps la plate-
forme de BI. Cette licence est tout fait adapte
car un petit nombre de licences peut accepter de
nombreux utilisateurs. Par exemple, suivant la fr-
quence et la dure des connexions des utilisateurs
au systme, une licence pour 100 utilisateurs simul-
tans peut prendre en charge 250, 500 ou 700 utili-
sateurs. Les licences Utilisateur nomm sont asso-
cies des utilisateurs particuliers qui peuvent ac-
cder au systme en saisissant un nomd'utilisateur
et un mot de passe. Ainsi, les utilisateurs nomms
peuvent accder au systme, quel que soit le no-
mbre de personnes connectes.
Remarque :
L'option que vous slectionnez ici ne change ni le
nombre, ni le type des licences utilisateur que vous
avez installes dans la plateforme de BI. Vous devez
disposer des licences adquates sur votre systme.
Utilisateurs simultans et Utilisateurs nom-
ms
Slectionnez cette option pour spcifier un niveau
de priorit pour le plug-in d'authentification SAP.
Les noms complets et les descriptions des comptes
SAP sont imports et stocks avec les objets utilisa-
teur dans la plateforme de BI.
Importer le nomcomplet, l'adresse lectro-
nique et d'autres attributs
Spcifie une priorit pour la liaison des attributs uti-
lisateur SAP (nomcomplet et adresse lectronique).
Si l'option est dfinie sur 1, les attributs SAP sont
prioritaires dans les scnarios o SAP et les autres
plug-ins (Windows AD et LDAP) sont activs. Si
l'option est dfinie sur 3, les attributs des autres
plug-ins sont prioritaires.
Rendre la liaison d'attributs SAP prioritaire
par rapport aux autres liaisons d'attributs
Utilisez l'option suivante pour configurer le service de connexion unique SAP :
2012-05-10 306
Authentification
Description Paramtre
Identificateur systme fourni par la plateforme de BI au systme SAP lors
de l'excution du service de connexion unique SAP.
ID systme
Utilisez ce bouton pour tlcharger le fichier de stockage de cls gnr
pour permettre la connexion unique SAP. Il est galement possible de
saisir manuellement le chemin complet du fichier dans le champ prvu.
Parcourir
Fournissez le mot de passe requis pour accder au fichier de stockage de
cls.
Mot de passe du sto-
ckage de cls
Fournissez le mot de passe requis pour accder au certificat correspondant
au fichier de stockage de cls. Le certificat est stock sur le systme SAP
Mot de passe de la
cl prive
Fournissez l'alias requis pour accder au fichier de stockage de cls. Alias de cl prive
3. Cliquez sur Mettre jour.
Rubriques associes
Configuration de l'authentification SAP
8.5.4.2 Pour modifier la racine du dossier de contenu
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Cliquez sur Options et saisissez le nom du dossier dans le champ Racine du dossier Contenu.
Le nom du dossier que vous saisissez ici correspond au dossier partir duquel la plateforme de BI
doit commencer dupliquer la structure des dossiers BW.
4. Cliquez sur Mettre jour.
5. Dans le Workbench d'administration de contenu BW, dveloppez Systme Enterprise.
6. Dveloppez Systmes disponibles, puis cliquez deux fois sur le systme auquel la plateforme de
BI se connecte.
7. Cliquez sur l'onglet Disposition, puis dans Dossier de base de contenu, saisissez le dossier que
vous voulez utiliser comme dossier SAP racine dans la plateforme de BI (par exemple, /SAP/2.0/)
.
8.5.5 Importation de rles SAP
2012-05-10 307
Authentification
En important des rles SAP dans la plateforme de BI, vous permettez aux membres correspondants
de se connecter au systme avec leurs rfrences de connexion SAP habituelles. De plus, la connexion
unique est active, de sorte que les utilisateurs SAP peuvent tre automatiquement connects la
plateforme de BI lorsqu'ils accdent aux rapports partir de l'interface utilisateur SAP ou d'un portail
SAP Enterprise Portal.
Remarque :
L'activation de la connexion unique repose bien souvent sur de nombreux pralables. Certains peuvent
concerner l'utilisation d'un pilote et d'une application compatibles avec cette fonction, ainsi que la
certitude que votre serveur et le serveur Web font partie du mme domaine.
Pour chaque rle import, la plateforme de BI gnre un groupe. Chaque groupe est nomm selon le
modle suivant :IDSystme~NumroClient@NomDuRle . Vous pouvez afficher les nouveaux
groupes dans la zone de gestion "Utilisateurs et groupes" de la CMC. Vous pouvez galement utiliser
ces groupes pour dfinir la scurit des objets dans la plateforme de BI.
Tenez compte de trois catgories principales d'utilisateurs lors de la configuration de la plateforme de
BI pour une publication et lors de l'importation de rles vers le systme :
Administrateurs de la plateforme de BI
Les administrateurs Enterprise configurent le systme pour publier du contenu partir de SAP. Ils
importent les rles appropris, crent les dossiers ncessaires et affectent des droits ces rles et
dossiers dans la plateforme de BI.
Editeurs de contenu
Les diteurs de contenu sont les utilisateurs autoriss publier le contenu dans les rles. L'objectif
de cette catgorie d'utilisateurs est de sparer les membres des rles standard de ces utilisateurs
autoriss publier des rapports.
Membres de rle
Les membres de rle sont des utilisateurs appartenant aux rles portant le contenu. En d'autres
termes, ces utilisateurs appartiennent aux rles vers lesquels les rapports sont publis. Ils disposent
des droits de visualisation, de visualisation la demande et de planification pour les rapports
publis vers les rles dont ils sont membres. Toutefois, les membres de rle standard ne peuvent
ni publier de nouveaux contenus, ni publier des versions de contenu mises jour.
Vous devez importer tous les rles de publication de contenu ou ayant trait au contenu dans la plateforme
de BI avant d'effectuer la premire publication.
Remarque :
Nous vous recommandons fortement de distinguer les activits des rles. Par exemple, alors qu'il est
possible de raliser une publication partir du rle d'un administrateur, il est prfrable de publier
uniquement partir de rles d'diteurs de contenu. En outre, la fonction des rles de publication de
contenu consiste uniquement dfinir les utilisateurs pouvant publier du contenu. Ainsi, les rles de
publication de contenu ne doivent pas contenir de contenu ; les diteurs de contenu doivent publier
vers des rles portant le contenu qui sont accessibles aux membres de rle standard.
Rubriques associes
Fonctionnement des droits sur la plateforme de BI
2012-05-10 308
Authentification
Gestion des paramtres de scurit des objets dans la CMC
8.5.5.1 Pour importer des rles SAP
1. Dans la zone de gestion "Authentification" de la CMC, cliquez deux fois sur le lien SAP.
2. Dans l'onglet Options, slectionnez Utilisateurs simultans ou Utilisateurs nomms selon votre
contrat de licence.
Notez que l'option que vous slectionnez ici ne change ni le nombre, ni le type des licences utilisateur
que vous avez installes dans la plateforme de BI. Vous devez disposer des licences adquates
sur votre systme.
3. Cliquez sur Mettre jour.
4. Dans l'onglet Importation de rle, slectionnez le systme d'autorisation dans la liste Nom de
systme logique.
5. Sous "Rles disponibles", slectionnez le ou les rles que vous souhaitez importer, puis cliquez sur
Ajouter.
6. Cliquez sur Mettre jour.
8.5.5.2 Pour vrifier que les rles et les utilisateurs ont t imports
correctement
1. Vrifiez que vous disposez du nom d'utilisateur et du mot de passe d'un utilisateur SAP appartenant
l'un des rles que vous venez de mapper la plateforme de BI.
2. Pour la zone de lancement BI Java, accdez http://serveurWeb:numroport /BOE/BI.
Remplacez serveurWeb par le nomdu serveur Web et numroport par le numro de port configur
pour la plateforme de BI. Il vous faudra peut-tre demander votre administrateur le nomdu serveur
Web, le numro de port ou l'URL exacte saisir.
3. Dans la liste Type d'authentification, slectionnez SAP.
Remarque :
Par dfaut, la liste Type d'authentification est cache dans la zone de lancement BI. L'administrateur
doit l'activer dans le fichier BIlaunchpad.properties puis redmarrer le serveur d'applications
Web.
4. Saisissez le systme SAP et le client systme auxquels vous connecter.
5. Saisissez le nom d'utilisateur et le mot de passe d'un utilisateur mapp.
6. Cliquez sur Connexion.
Vous tes connect la Zone de lancement BI en tant qu'utilisateur slectionn.
2012-05-10 309
Authentification
8.5.5.3 Mise jour des rles et des utilisateurs SAP
Une fois l'authentification SAP active, il est ncessaire de planifier et d'excuter des mises jour
rgulires sur les rles mapps qui ont t imports dans la plateforme de BI. Cela garantira que les
informations des rles SAP sont refltes avec prcision dans la plateforme de BI.
Il existe deux options pour l'excution et la planification des mises jour de rles SAP :
Mettre jour les rles uniquement : cette option permet uniquement de mettre jour les liens entre
les rles actuellement mapps qui ont t imports dans la plateforme de BI. Nous vous
recommandons d'utiliser cette option si vous avez l'intention d'excuter des mises jour frquentes
et que vous tes proccup par l'utilisation des ressources systme. Aucun nouveau compte
utilisateur ne sera cr si vous effectuez uniquement une mise jour des rles SAP.
Mettre jour les rles et les alias : cette option permet non seulement de mettre jour les liens
entre les rles, mais aussi de crer des comptes utilisateur dans la plateforme de BI pour les alias
utilisateur ajouts des rles dans le systme SAP.
Remarque :
Si vous n'avez pas spcifi de crer automatiquement des alias utilisateur pour les mises jour lors
de l'activation de l'authentification SAP, aucun compte ne sera cr pour les nouveaux alias.
8.5.5.3.1 Planification de mises jour pour les rles SAP
Une fois les rles mapps dans la plateforme de BI, vous devez indiquer comment le systme doit
mettre jour ces rles.
1. Cliquez sur l'onglet Mise jour de l'utilisateur.
2. Cliquez sur Planifier dans la zone "Mettre jour les rles uniquement" ou "Mettre jour les rles
et les alias".
Conseil :
Pour effectuer une mise jour immdiate, cliquez sur Mettre jour maintenant.
Conseil :
Slectionnez "Mettre jour les rles uniquement" pour des mises jour rgulires ou si vous doutez
des ressources du systme. Le systme met plus de temps mettre jour la fois les rles et les
alias.
La bote de dialogue "Priodicit" s'affiche.
3. Slectionnez une option dans la liste Excuter l'objet et saisissez les informations requises
concernant la planification.
Slectionnez une priodicit parmi les suivantes :
2012-05-10 310
Authentification
Description Priodicit
La mise jour sera excute toutes les heures. Vous pouvez
spcifier l'heure laquelle l'excution dmarrera, de mme que
sa date de dbut et sa date de fin.
Toutes les heures
La mise jour sera excute tous les jours ou tous les N jours.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les jours
La mise jour sera excute toutes les semaines. Elle peut
tre excute une ou plusieurs fois par semaine. Vous pouvez
prciser les jours et l'heure auxquels l'excution aura lieu, ainsi
que sa date de dbut et sa date de fin.
Toutes les semaines
La mise jour sera excute tous les mois ou tous les N mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les mois
La mise jour sera excute un jour spcifique du mois. Vous
pouvez prciser le jour du mois et l'heure auxquels l'excution
aura lieu, ainsi que sa date de dbut et sa date de fin.
Nime jour du mois
La mise jour sera excute le premier lundi de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
1er lundi du mois
La mise jour sera excute le dernier jour de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Dernier jour du mois
La mise jour sera excute le jour indiqu de la semaine in-
dique du mois. Vous pouvez prciser l'heure laquelle l'ex-
cution aura lieu, de mme que sa date de dbut et sa date de
fin.
Jour X de la Nime semaine
du mois
La mise jour sera excute aux dates spcifies dans un
calendrier prcdemment cr.
Calendrier
4. Cliquez sur Planifier.
La date de la prochaine mise jour de rles planifie est affiche dans l'onglet Mise jour de
l'utilisateur.
Remarque :
Pour annuler la prochaine mise jour, cliquez sur Annuler les mises jour planifies dans la
zone "Mettre jour les rles uniquement" ou "Mettre jour les rles et les alias".
2012-05-10 311
Authentification
8.5.6 Configuration de la communication rseau scurise (SNC)
Cette section explique comment configurer la SNC dans le cadre du processus de configuration
d'authentification SAP la plateforme de BI
Avant de configurer la scurit entre les systmes SAP et la plateforme de BI, assurez-vous que le SIA
est configur pour dmarrer et s'excuter sous un compte configur pour la SNC. Vous devez galement
configurer votre systme SAP pour scuriser la plateforme de BI. Il est recommand de suivre les
instructions reprises dans la section Configuration de la scurit ct serveur SAP du chapitre
Configurations supplmentaires pour les environnements Enterprise Resource Planningde ce guide.
8.5.6.1 Prsentation de la scurit ct serveur SAP
Cette section contient des procdures permettant de configurer la scurit ct serveur entre les
serveurs d'applications Web SAP (versions 6.20 et suprieures) et SAP BusinessObjects Enterprise.
Vous devez configurer la scurit ct serveur si vous utilisez la mthode d'clatement de rapports
multipassage (pour les publications dans lesquelles la requte de rapport dpend du contexte de
l'utilisateur).
La scurit ct serveur ncessite un emprunt d'identit sans mot de passe. Pour pouvoir emprunter
l'identit d'un utilisateur SAP sans fournir de mot de passe, l'utilisateur doit tre identifi auprs de SAP
l'aide d'une mthode plus scurise qu'un simple nom d'utilisateur et mot de passe. (Un utilisateur
SAP ayant le profil d'autorisation SAP_ALL ne peut pas emprunter l'identit d'un autre utilisateur SAP
sans connatre son mot de passe.)
Activation de la scurit ct serveur l'aide de la bibliothque crypto SAP gratuite
Pour activer la scurit ct serveur pour SAP BusinessObjects Enterprise l'aide de la bibliothque
de cryptographie SAP gratuite, vous devez excuter les serveurs correspondants avec des rfrences
de connexion qui sont authentifies l'aide d'un fournisseur de communication rseau scurise (SNC)
agr. Les rfrences de connexion sont configures par SAP pour permettre l'emprunt d'identit sans
mot de passe. Pour SAP BusinessObjects Enterprise, vous devez excuter les serveurs impliqus dans
l'clatement de rapports avec les rfrences de connexion SNC, tels que l'Adaptive Job Server.
Vous devez disposer d'une bibliothque de cryptage 32 bits pour configurer la scurit ct serveur.
Une bibliothque de cryptage SAP est disponible (pour Windows et UNIX), elle est tlcharger sur
le site Web SAP. La bibliothque cryptographique SAP peut uniquement tre utilise pour configurer
la scurit ct serveur. Pour en savoir plus sur la bibliothque cryptographique, voir les notes
SAP 711093, 597059 et 397175 sur le site Web SAP.
Le serveur SAP et SAP BusinessObjects Enterprise doivent se voir attribuer des certificats prouvant
l'identit de chacun vis--vis de l'autre. Chaque serveur a son propre certificat ainsi qu'une liste de
certificats pour les parties approuves. Pour configurer la scurit ct serveur entre SAP et SAP
2012-05-10 312
Authentification
BusinessObjects Enterprise, vous devez crer un jeu de certificats protg par mot de passe appel
PSE (Personal Security Environment - environnement de scurit personnelle). Ce document explique
comment configurer et grer les PSE et comment les associer de faon scurise aux serveurs de
traitement de SAP BusinessObjects Enterprise.
Client/serveur SNC
Dans client SNC, un identificateur de nom SNC est mapp un (ou plusieurs) noms d'utilisateur SAP
dans SU01. Lorsqu'une requte de connexion est envoye, le nom SNC et le nom SAP sont transmis
au systme SAP. Toutefois, aucun mot de passe n'est envoy. Etant donn que le nomSNCest mapp
au nom SAP indiqu, la connexion est autorise. Voici une chane de connexion ct client pour une
connexion l'hte d'applications direct :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
L'utilisateur SAP USER123 doit tre mapp p:CN=Utilisateur, O=Socit, C=US dans SU01
pour que cette tentative de connexion russisse. Sur le serveur SNC, en revanche, il n'est pas ncessaire
de mapper explicitement l'identificateur de nom SNC avec le nom d'utilisateur SAP. Au lieu de cela, le
nom SNC est configur au sein de la transaction SNC0 afin de pouvoir tablir une connexion de type
identit pour tout utilisateur sans avoir fournir le mot de passe de cet utilisateur. Par exemple :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
La connexion d'identit du serveur SNC ou connexion via ID externe propose beaucoup plus de
possibilits que la connexion client. Cette connexion permet d'accder n'importe quel compte utilisateur
SAP du systme. Parmi les autres options de connexion IDexterne, citons Logon Tickets et les certificats
client X.509.
Responsabilits de serveur SAP BusinessObjects Enterprise
Les serveurs spcifiques de SAP BusinessObjects Enterprise servent l'intgration SAP en matire
de connexion unique. Le tableau suivant rpertorie ces serveurs, ainsi que le type de SNC requis pour
chaque domaine de responsabilits.
Domaines de responsabilits Type de SNC Serveur
Liste de rles de l'authentification SAP client Serveur d'applications Web
Personnalisation et listes de slection des paramtres
dynamiques de Crystal Reports
serveur
Listes de mots de passe, de tickets, de vrification des
appartenances du rle et d'utilisateurs
client CMS
Affichage la demande de Crystal Reports serveur Page Server
2012-05-10 313
Authentification
Domaines de responsabilits Type de SNC Serveur
Planification de Crystal Reports serveur Job Server
Affichage et planification des rapports Web Intelligence
et des invites de liste de valeurs
serveur Web Intelligence Processing
Server
Analyse serveur Service MDAS(Multi-Dimensio-
nal Analysis Service)
Remarque :
Le serveur d'applications Web et le CMS utilisent le SNCclient et requirent par consquent un mappage
explicite du nom SNC au nom d'utilisateur SAP. Ceci est indiqu dans la transaction SU01 ou SM30
pour le tableau USRACL.
8.5.6.2 Configuration de SAP pour une scurit ct serveur
Vous devez configurer SNC pour l'utiliser avec SAP BusinessObjects Enterprise. La scurit ct
serveur s'applique uniquement aux rapports Crystal et Web Intelligence bass sur les univers (.unv).
Pour en savoir plus ou pour obtenir de l'aide pour le dpannage, consultez la documentation SAP
fournie avec votre serveur SAP.
8.5.6.2.1 Pour configurer SAP pour la scurit ct serveur
1. A partir de SAP Marketplace, tlchargez la bibliothque cryptographique SAP pour toutes les
plateformes concernes.
Remarque :
Pour plus d'informations sur la bibliothque cryptographique, voir les notes SAP 711093, 597059
et 397175 sur le site Web de SAP.
2. Assurez-vous que vous disposez des rfrences de connexion d'administrateur SAP pour SAP et
l'ordinateur excutant SAP, ainsi que les rfrences de connexion d'administrateur pour SAP
BusinessObjects Enterprise et le ou les ordinateurs l'excutant.
3. Sur l'ordinateur SAP, copiez la bibliothque cryptographique SAP et l'outil SAPGENPSE dans le
rpertoire <LECTEUR>:\usr\sap\<SID>\SYS\exe\run\ (sous Windows).
4. Localisez le fichier "ticket" qui a t install avec la bibliothque cryptographique SAP et copiez-le
dans le rpertoire <LECTEUR>:\usr\sap\<SID>\<instance>\sec\ (sous Windows).
5. Crez une variable d'environnement appele SECUDIR qui pointe vers le rpertoire contenant le
fichier ticket.
Remarque :
Cette variable doit tre accessible l'utilisateur dont les rfrences de connexion sont utilises pour
excuter le processus disp+work de SAP.
2012-05-10 314
Authentification
6. Dans l'interface utilisateur SAP, recherchez la transaction RZ10 et modifiez le profil d'instance en
mode maintenance tendue.
7. En mode d'dition de profil, faites pointer les variables de profil SAP vers la bibliothque
cryptographique et donnez un nom distinctif (DN) au systme SAP. Ces variables doivent suivre la
convention d'attribution de noms LDAP :
Description Signification Balise
Nom usuel du propritaire du certificat. Nom usuel CN
EP pour Equipe produits, par exemple. Unit organisationnelle OU
Nom de l'organisation pour laquelle le certificat a t
mis.
Organisation O
Pays dans lequel se situe l'organisation. Pays C
Par exemple, pour R21 : p:CN=R21, OU=EP, O=BOBJ, C=CA
Remarque :
Notez que le prfixe p: correspond la bibliothque cryptographique SAP. Il est requis lorsqu'il est
fait rfrence au DNdans SAP, mais il n'est pas visible lors de l'examen des certificats dans STRUST
ou lors de l'utilisation de SAPGENPSE.
8. Entrez les valeurs de profil suivantes, en utilisant les valeurs correspondant votre systme SAP.
Valeur Variable de profil
SAPSECULIB ssf/name
Chemin complet de la bibliothque cryptographique SAP ssf/ssfapi_lib
Chemin complet de la bibliothque cryptographique SAP sec/libsapsecu
Chemin complet de la bibliothque cryptographique SAP snc/gssapi_lib
DN de votre systme SAP snc/identity/as
9. Redmarrez l'instance SAP.
10. Lorsque le systme est de nouveau excut, connectez-vous, puis recherchez la transaction
STRUST, qui doit maintenant possder des entres supplmentaires pour SNC et SSL.
11. Cliquez avec le bouton droit de la souris sur le nud SNC et cliquez sur Crer.
2012-05-10 315
Authentification
L'identit que vous avez spcifie dans RZ10 doit prsent s'afficher.
12. Cliquez sur OK.
13. Pour attribuer un mot de passe au PSE de la SNC, cliquez sur l'icne reprsentant un verrou.
Remarque :
N'garez pas ce mot de passe. STRUST vous demandera de l'indiquer chaque fois que vous affichez
ou modifiez le PSE de la SNC.
14. Enregistrez les modifications.
Remarque :
Si vous n'enregistrez pas les changements, le serveur d'applications ne redmarre pas lorsque vous
activez la SNC.
15. Retournez la transaction RZ10 et ajoutez les paramtres restants du profil SNC.
Paramtre Variable de profil
1
snc/accept_insecure_rfc
1
snc/accept_insecure_r3int_rfc
1
snc/accept_insecure_gui
1
snc/accept_insecure_cpic
1
snc/permit_insecure_start
1
snc/data_protection/min
3
snc/data_protection/max
1
snc/enable
Le niveau de protection minimal est dfini sur authentification seulement (1) et le niveau maximal
est confidentiel (3). La valeur snc/data_protection/use dfinit que seule l'authentification doit tre
utilise dans ce cas, mais elle peut tre dfinie sur (2) pour le niveau intgrit, (3) pour confidentiel
et (9) pour le maximum disponible. Les valeurs snc/accept_insecure_rfc, snc/accept_inse
cure_r3int_rfc, snc/accept_insecure_gui et snc/accept_insecure_cpic dfinies sur (1) indiquent que
les mthodes de communication prcdentes (et potentiellement non scurises) sont toujours
permises.
16. Redmarrez votre systme SAP.
Configurez ensuite SAP BusinessObjects Enterprise pour une scurit ct serveur.
2012-05-10 316
Authentification
8.5.6.3 Configuration de SAP BusinessObjects Enterprise pour la scurit ct
serveur
Pour configurer SAP BusinessObjects Enterprise pour une scurit ct serveur, suivez la procdure
ci-aprs. Notez que ces tapes sont effectues sous Windows ; cependant, tant donn que l'outil SAP
est un outil de ligne de commande, ces tapes sont similaires sous Unix.
1. Configurez l'environnement
2. Gnrez un PSE (Personal Security Environment)
3. Configurez les serveurs SAP BusinessObjects Enterprise
4. Configurez l'accs au PSE
5. Configurez les paramtres SNC d'authentification SAP
6. Configurez les groupes de serveurs ddis SAP
Rubriques associes
Pour configurer l'environnement
Pour gnrer un PSE (environnement de scurit personnelle)
Pour configurer les serveurs SAP BusinessObjects Enterprise
Pour configurer l'accs au PSE
Pour configurer les paramtres SNC d'authentification SAP
Utilisation de groupes de serveurs
8.5.6.3.1 Pour configurer l'environnement
Avant de commencer, assurez-vous que :
La bibliothque cryptographique SAP a t tlcharge et dveloppe sur l'hte excutant les
serveurs de traitement SAP BusinessObjects Enterprise.
Les systmes SAP appropris ont t configurs pour utiliser la bibliothque cryptographique SAP
comme fournisseur SNC.
Avant de pouvoir grer le PSE, vous devez configurer la bibliothque, l'outil et l'environnement dans
lequel les PSE sont stocks.
1. Copiez la bibliothque cryptographique SAP (y compris l'outil de gestion PSE) dans un dossier de
l'ordinateur excutant SAP BusinessObjects Enterprise.
Par exemple : C:\Program Files\SAP\Crypto
2. Ajoutez le dossier la variable d'environnement PATH.
3. Ajoutez une variable d'environnement systme SNC_LIB pointant vers la bibliothque
cryptographique.
Par exemple : C:\Program Files\SAP\Crypto\sapcrypto.dll
4. Crez un sous-dossier appel sec.
2012-05-10 317
Authentification
Par exemple : C:\Program Files\SAP\Crypto\sec
5. Ajoutez une variable d'environnement systme SECUDIR pointant vers le dossier sec.
6. Copiez le fichier ticket de la bibliothque cryptographique SAP dans le dossier sec.
Rubriques associes
Configuration de SAP pour une scurit ct serveur
8.5.6.3.2 Pour gnrer un PSE (environnement de scurit personnelle)
SAPaccepte un serveur SAPBusinessObjects Enterprise comme entit scurise lorsque les serveurs
SAP BusinessObjects Enterprise correspondants ont un PSE associ SAP. Cette scurit entre
SAP et les composants SAP BusinessObjects Enterprise est tablie par le partage de la version publique
du certificat de chacun. La premire tape consiste gnrer un PSE pour SAP
BusinessObjects Enterprise qui gnre automatiquement son propre certificat.
1. Ouvrez une invite de commande et excutez sapgenpse.exe gen_pse -v -p BOE.pse depuis le
dossier de la bibliothque cryptographique.
2. Choisissez un code PINet un DN(nomdistinctif) pour votre systme SAPBusinessObjects Enterprise.
Par exemple, CN=MyBOE01, OU=EP, O=BOBJ, C=CA.
Vous disposez maintenant d'un PSE par dfaut ayant son propre certificat.
3. Utilisez la commande suivante pour exporter le certificat dans le PSE :
sapgenpse.exe export_own_cert -v -p BOE.pse -o MyBOECert.crt
4. Dans l'interface utilisateur de SAP, allez la transaction STRUST et ouvrez le PSE de la SNC.
Vous tes alors invit entrer le mot de passe que vous avez dj attribu.
5. Importez le fichier MyBOECert.crt cr prcdemment :
Les certificats de SAPGENPSEsont cods en Base64. N'oubliez pas de slectionner Base64 lorsque
vous les importez :
6. Pour ajouter le certificat SAP BusinessObjects Enterprise la liste de certificats PSE du serveur
SAP, cliquez sur le bouton Add to certificate list (Ajouter la liste de certificats).
7. Pour ajouter le certificat SAP au PSE SAP BusinessObjects Enterprise, cliquez deux fois sur le
certificat SAP.
8. Enregistrez les changements dans STRUST.
9. Cliquez sur le bouton Exporter et donnez un nom au certificat.
Par exemple, MonCertSAP.crt.
Remarque :
Le format doit rester Base64.
10. Allez la transaction SNC0.
11. Ajoutez une nouvelle entre, o :
L'ID du systme est arbitraire mais reflte votre systme SAP BusinessObjects Enterprise.
2012-05-10 318
Authentification
Le nom SNC doit correspondre au DN (ayant pour prfixe p:) que vous avez fourni lors de la
cration de votre PSE SAP BusinessObjects Enterprise ( l'tape 2).
Les cases Entre pour RFC active et Entre pour ID ext. active sont coches :
12. Pour ajouter le certificat export au PSE SAP BusinessObjects Enterprise, excutez la commande
suivante dans l'invite de commande :
sapgenpse.exe maintain_pk -v -a MonCertSAP.crt -p BOE.pse
La bibliothque cryptographique SAP est installe sur l'ordinateur SAP BusinessObjects Enterprise.
Vous avez cr un PSE qui sera utilis par les serveurs SAP BusinessObjects Enterprise pour s'identifier
auprs des serveurs SAP. SAP et le PSE SAP BusinessObjects Enterprise ont chang leurs certificats.
SAP autorise les entits ayant accs au PSE SAP BusinessObjects Enterprise effectuer des appels
RFC et un emprunt d'identit sans mot de passe.
Rubriques associes
Pour configurer les serveurs SAP BusinessObjects Enterprise
8.5.6.3.3 Pour configurer les serveurs SAP BusinessObjects Enterprise
Aprs avoir gnr un PSE pour SAP BusinessObjects Enterprise, vous devez configurer une structure
de serveurs approprie pour le traitement SAP. La procdure suivante cre un nud pour les serveurs
de traitement SAP, de faon ce que vous puissiez dfinir les rfrences de connexion du systme
d'exploitation au niveau du nud.
Remarque :
Dans cette version de SAP BusinessObjects Enterprise, les serveurs ne sont plus configurs dans le
CCM (Central Configuration Manager). Un nouveau Server Intelligence Agent (SIA) doit tre cr la
place.
1. Dans le CCM, crez un nud pour les serveurs de traitement SAP.
Donnez au nud un nom appropri, par exemple, ProcesseurSAP.
2. Dans le CCM, ajoutez les serveurs de traitement requis au nouveau nud, puis dmarrez les
nouveaux serveurs.
8.5.6.3.4 Pour configurer l'accs au PSE
Aprs avoir configur les nuds et les serveurs SAPBusinessObjects Enterprise , vous devez configurer
l'accs au PSE l'aide de l'outil SAPGENPSE.
1. Excutez la commande suivante partir de l'invite de commande :
sapgenpse.exe seclogin -p SBOE.pse
Remarque :
Vous tes invit entrer le code PIN du PSE. Si vous excutez l'outil sous les mmes rfrences
de connexion que les serveurs de traitement SAP BusinessObjects Enterprise, vous n'avez pas
besoin de spcifier un nom d'utilisateur.
2012-05-10 319
Authentification
2. Pour vrifier que la liaison de connexion unique (SSO) est tablie, affichez le contenu du PSE
l'aide de la commande suivante :
sapgenpse.exe maintain_pk -l
Les rsultats doivent se prsenter comme suit :
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l
maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. -------------------------------------------------------------
Version: 0 (X.509v1-1988)
SubjectName: CN=R21Again, OU=PG, O=BOBJ, C=CA
IssuerName: CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber: 00
Validity - NotBefore: Wed Nov 28 16:23:53 2007 (071129002353Z)
NotAfter: Thu Dec 31 16:00:01 2037 (380101000001Z)
Public Key Fingerprint: 851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey: Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>
Vous ne devez pas tre invit entrer de nouveau le PIN du PSE une fois la commande seclogin
correctement excute.
Remarque :
Si vous rencontrez des problmes pour accder au PSE, utilisez le -Opour spcifier l'accs au PSE.
Par exemple, pour autoriser l'accs au PSE un utilisateur spcifique dans un domaine spcifique,
saisissez :
sapgenpse seclogin -p SBOE.pse -O <domain\user>
8.5.6.3.5 Pour configurer les paramtres SNC d'authentification SAP
Lorsque vous avez configur l'accs au PSE, vous devez configurer les paramtres d'authentification
SAP dans la CMC (Central Management Console).
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramtres des systmes d'autorisation s'affichent.
3. Cliquez sur l'onglet Paramtres SNC de la page "Authentification SAP".
4. Slectionnez le systme d'autorisation appropri dans la liste Nom de systme logique.
5. Slectionnez Activer la communication rseau scurise (SNC) sous Paramtres de base.
6. Dans la zone Chemin de la bibliothque SNC, saisissez le chemin des paramtres de la bibliothque
SNC.
Remarque :
Cette tape est obligatoire mme si la bibliothque est dj dfinie dans la variable d'environnement
SNC_LIB.
7. Slectionnez un niveau de protection dans le champ Qualit de la protection.
Par exemple, slectionnez Authentification.
2012-05-10 320
Authentification
Remarque :
Vrifiez que vous ne dpassez pas le niveau de protection configur sur le systme SAP. Le niveau
de protection est personnalisable et dtermin par les besoins de votre entreprise et les fonctions
de sa bibliothque SNC.
8. Saisissez le nom SNC du systme SAP sous Paramtres d'authentification mutuelle.
Le format du nom SNC dpend de la bibliothque SNC. Si vous utilisez SAP Cryptographic Library,
la recommandation concernant le nom distinctif consiste suivre les conventions d'attribution de
noms LDAP. Ce nom doit comporter le prfixe "p:".
9. Vrifiez que le nom SNC des rfrences de connexion selon lesquelles les serveurs Enterprise
s'excutent figure dans le champ Nom SNC du systme Enterprise.
Lorsque plusieurs noms SNC sont configurs, laissez ce champ vide.
10. Indiquez les DN du systme SAP et du PSE SAP BusinessObjects Enterprise.
8.5.6.3.6 Utilisation de groupes de serveurs
Si la connexion aux serveurs de traitement (Crystal Reports ou Web Intelligence) n'a pas t effectue
avec des rfrences autorisant l'accs au PSE, vous devez crer un groupe de serveurs spcifique ne
contenant que ces serveurs ainsi que les serveurs requis de prise en charge. Pour en savoir plus et
consulter des descriptions des serveurs SAP BusinessObjects Enterprise, voir la section Architecture
de ce guide.
Il existe trois options pour la configuration des serveurs de traitement du contenu SAP :
1. Conservez un seul SIA, comprenant tous les serveurs SAP BusinessObjects Enterprise auxquels
la connexion a t effectue avec des rfrences ayant accs au PSE. Cette option est la plus
simple et ne ncessite pas la cration de groupes de serveurs. Donnant accs au PSE un grand
nombre de serveurs, cette option est galement celle offrant le niveau de scurit le plus faible.
2. Crez un deuxime SIA ayant accs au PSE et ajoutez-lui les serveurs de traitement Crystal Reports
ou Interactive. Supprimez les serveurs dupliqus du SIAd'origine. La cration de groupes de serveurs
n'est pas ncessaire, mais le nombre de serveurs ayant accs au PSE est infrieur celui de la
premire option.
3. Crez un SIA destin exclusivement SAP et ayant accs au PSE. Ajoutez-lui les serveurs de
traitement Crystal Report ou Web Intelligence. Cette option prvoit que seul le contenu SAP doit
tre excut sur ces serveurs et surtout que le contenu SAP ne doit tre excut que sur ces
serveurs. Le contenu devant tre dirig vers certains serveurs, vous devrez crer des groupes de
serveurs pour le SIA.
Instructions sur l'utilisation d'un groupe de serveurs
Le groupe de serveur doit faire rfrence :
Au SIA utilis exclusivement pour grer le contenu SAP.
Aux Adaptive Job Servers
Aux serveurs de traitement adaptatif
Tout le contenu SAP, tous les documents Web Intelligence et tous les rapports Crystal doivent tre
associs le plus strictement possible au groupe de serveurs, c'est--dire qu'ils doivent tre excuts
2012-05-10 321
Authentification
sur des serveurs du groupe. Une fois cette association effectue niveau d'objet, le paramtre de
groupe de serveurs doit tre propag aux paramtres pour la planification directe et pour les publications.
Afin d'viter le traitement de tout autre contenu (non SAP) sur les serveurs de traitement spcifiques
SAP, vous devez crer un autre groupe de serveurs comprenant tous les serveurs sous le SIA
d'origine. Il est recommand de configurer une association stricte entre ce contenu et le groupe de
serveurs non SAP.
8.5.6.4 Configuration de publications multipassage
Dpannage des publications multipassage
Si vous rencontrez des problmes avec les publications multipassage, activez la fonction de traces
pour le pilote Crystal Reports (CR) ou Multidimensional Data Access (MDA) et recherchez la chane
de connexion utilise pour chaque tche ou destinataire. Ces chanes de connexion ont l'aspect suivant :
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN
La chane de connexion doit avoir la valeur EXTIDTYPE=UN (pour le nom d'utilisateur) approprie et
EXTIDDATA doit tre le nom d'utilisateur SAP du destinataire. Dans cet exemple, la tentative de
connexion a russi.
8.5.6.5 Workflow d'intgration la communication rseau scurise (SNC)
La plateforme de BI prend en charge les environnements qui implmentent la communication rseau
scurise (SNC) pour l'authentification et le cryptage des donnes entre les composants SAP. Si vous
avez dploy la bibliothque cryptographique SAP (ou un autre produit de scurit externe utilisant
l'interface SNC), vous devez configurer certaines valeurs supplmentaires pour intgrer efficacement
la plateforme de BI votre environnement scuris.
Pour configurer la plateforme de BI de faon utiliser votre communication rseau scurise, vous
devez excuter les tches suivantes :
1. Configurez les serveurs de la plateforme de BI de manire ce qu'ils dmarrent et s'excutent sous
un compte utilisateur adquat.
2. Configurez le systme SAP de manire ce qu'il scurise le systme de votre plateforme de BI.
3. Configurez les paramtres SNC dans le lien SNC de la CMC (Central Management Console).
4. Importez les utilisateurs et les rles SAP dans la plateforme de BI.
2012-05-10 322
Authentification
Rubriques associes
Importation de rles SAP
Configuration de SAP pour une scurit ct serveur
Configuration de SAP BusinessObjects Enterprise pour la scurit ct serveur
8.5.6.6 Configuration des paramtres SNC dans la CMC
Pour pouvoir configurer les paramtres SNC, vous devez ajouter un nouveau systme d'autorisation
dans la plateforme de BI. De plus, vous devez copier le fichier de la bibliothque SNCdans un rpertoire
connu et crer une variable d'environnement RFC_LIB pointant sur ce fichier.
1. Cliquez sur l'onglet Paramtres SNC de la page d'authentification SAP.
2. Slectionnez le systme d'autorisation appropri dans la liste Nom de systme logique.
3. Slectionnez Activer la communication rseau scurise (SNC) sous Paramtres de base.
4. Si vous configurez l'authentification SAP pour l'utilisation d'univers .unx ou de connexions OLAP
BICS et prvoyez l'emploi de STS, cochez la case Interdire les connexions RFC entrantes non
scurises.
5. Indiquez le chemin d'accs aux paramtres de la bibliothque SNC dans le champ Chemin de la
bibliothque SNC.
Remarque :
Le serveur d'applications et le CMS doivent tre installs sur le mme type de systme d'exploitation
et avoir le mme chemin d'accs la bibliothque crypto.
6. Slectionnez un niveau de protection dans le champ Qualit de la protection.
Par exemple, slectionnez Authentification.
Remarque :
Le niveau de protection est personnalisable et dtermin par les besoins de votre entreprise et les
fonctions de sa bibliothque SNC.
7. Saisissez le nom SNC du systme SAP sous Paramtres d'authentification mutuelle.
Le format du nom SNC dpend de la bibliothque SNC. Si vous utilisez SAP Cryptographic Library,
la recommandation concernant le nom distinctif consiste suivre les conventions d'attribution de
noms LDAP. Il doit comporter le prfixe p:.
8. Vrifiez que le nomSNCdes rfrences de connexion selon lesquelles les serveurs de la plateforme
de BI s'excutent figure dans la zone Nom SNC du systmeEnterprise.
Si plusieurs noms SNC sont configurs, laissez la zone vierge.
9. Cliquez sur Mettre jour.
10. Cliquez sur l'onglet Systmes d'autorisation de la page d'authentification SAP.
Un champ Nom SNC s'affiche sous le champ Langue.
2012-05-10 323
Authentification
11. Dans le champ facultatif Nom SNC, saisissez le nom SNC que vous avez configur sur le serveur
SAP BW. Ce nom doit tre celui qui a t utilis pour configurer le systme SAP afin qu'il scurise
la plateforme de BI.
Remarque :
Si vous utilisez la structure Insight to Action pour activer l'interface Rapport-Rapport, il pourrait s'couler
une dizaine de minutes avant que SNCsoit activ o que les modifications apportes ses paramtres
prennent effet. Pour dclencher une mise jour immdiate, redmarrez le serveur de traitement adaptatif
excutant le service Insight to Action.
Rubriques associes
Connexion aux systmes d'autorisation de SAP
8.5.6.7 Pour associer l'utilisateur d'autorisation un nom de SNC
1. Connectez-vous votre systme SAP BW, puis excutez la transaction SU01.
L'cran "Maintenance des utilisateurs : Ecran initial" s'ouvre.
2. Dans le champ Utilisateur, saisissez le nomdu compte SAPdsign comme utilisateur d'autorisation,
puis cliquez sur Modifier dans la barre d'outils.
L'cran Grer utilisateur s'ouvre.
3. Cliquez sur l'onglet SNC.
4. Dans le champ Nom SNC, saisissez COMPTE UTILISATEUR SNC, comme l'tape 4.
5. Cliquez sur Enregistrer.
8.5.6.8 Pour ajouter un ID systme la liste des contrles d'accs SNC
1. Connectez-vous votre systme SAP BW, puis excutez la transaction SNC0.
L'cran de changement de vue "SNC : liste de contrle d'accs (ACL) pour les systmes :
prsentation" s'ouvre.
2. Cliquez sur New Entries (Nouvelles entres) dans la barre d'outils.
L'cran "Nouvelles entres : Dtails des entres ajoutes" s'affiche.
3. Saisissez le nom de votre ordinateur de la plateforme de BI dans le champ ID systme.
4. Saisissez p:<NOM UTILISATEUR SNC> dans le champ Nom d'utilisateur SNC, o NOM UTILI
SATEUR SNC reprsente le compte que vous avez utilis lors de la configuration des serveurs de
la plateforme de BI.
2012-05-10 324
Authentification
Remarque :
Si votre fournisseur SNC est gssapi32.dll, le nom d'utilisateur SNC doit tre saisi en majuscules.
Vous devez inclure le nom de domaine lors de la spcification du compte utilisateur. Par exemple :
domaine\nomutilisateur
5. Slectionnez Entre pour RFC active et Entre pour ID externe active.
6. Dsactivez toutes les autres options, puis cliquez sur Enregistrer.
8.5.7 Configuration de la connexion unique au systme SAP
Diffrents services client de la plateforme de BI et du backend interagissent avec les systmes backend
ABAP de NetWeaver dans un environnement intgr. Il est utile de configurer la connexion unique de
la plateforme de BI ces systmes backend (habituellement BW). Aprs configuration d'un systme
ABAP comme systme d'authentification externe, les jetons SAP propritaires sont utiliss pour fournir
un mcanisme qui prend en charge la connexion unique de tous les clients et services de la plateforme
de BI et des services se connectant aux systmes ABAP de NetWeaver.
Pour activer la connexion unique au systme SAP, vous devez crer un fichier de stockage de
cls et un certificat correspondant. Utilisez le programme de ligne de commande keytool pour
gnrer le fichier et le certificat. Le programme keytool est install par dfaut dans le rpertoire sdk/bin
de chaque plateforme.
Le certificat doit tre ajout au systme SAP ABAP BW et la plateforme de BI l'aide de la CMC.
Remarque :
Le plug-in d'authentification SAP doit tre configur pour pouvoir paramtrer la connexion unique la
base de donnes utilise par SAP BW.
8.5.7.1 Gnration du fichier de stockage de cls
Le programme PKCS12Tool permet de gnrer les fichiers de stockage de cls et les certificats requis
pour configurer la connexion unique la base de donnes SAP. Le tableau suivant rpertorie les
emplacements par dfaut de PKCS12Tool.jar pour chaque plateforme prise en charge :
Emplacement par dfaut Plateforme
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\java\lib
Windows
sap_bobj/enterprise_xi40/java/lib Unix
1. Lancez une invite de commande et accdez au rpertoire o se trouve le programme PKCS12Tool.
2012-05-10 325
Authentification
2. Pour gnrer le fichier de stockage de cls avec les paramtres par dfaut, excutez la commande
suivante :
java -jar PKCS12Tool.jar
Les fichiers cert.der et keystore.p12 sont gnrs dans le mme rpertoire. Les fichiers
contiennent les valeurs par dfaut suivantes :
Par dfaut Paramtre
keystore.p12 -keystore
myalias -alias
123456 -storepass
CN=CA -dname
365 -validity
cert.der -cert
Conseil :
Pour remplacer les valeurs par dfaut, excutez l'outil avec le paramtre -?. Le message suivant
s'affiche :
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
Vous pouvez utiliser les paramtres pour remplacer les valeurs par dfaut.
8.5.7.2 Exportation du certificat de cl publique
Vous devez crer et exporter un certificat pour le fichier de stockage de cls.
1. Lancez une invite de commande et accdez au rpertoire o se trouve le programme keytool
2. Pour exporter un certificat de cl pour le fichier de stockage de cls, utilisez la commande suivante :
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
2012-05-10 326
Authentification
Remplacez <fichier de stockage de cls> par le nom du fichier de stockage de cls.
Remplacez <nom de fichier> par le nom du certificat.
Remplacez <alias> par l'alias utilis pour crer le fichier de stockage de cls.
3. Quand vous y tes invit, saisissez le mot de passe que vous avez fourni pour le fichier de stockage
de cls.
Vous avez alors un fichier de stockage de cls et un certificat dans le rpertoire o se trouve le
programme keytool.
8.5.7.3 Importation du fichier du certificat dans le systme ABAP SAP cible
Il vous faut un fichier de stockage de cls et un certificat associ pour votre dploiement de la plateforme
de BI afin d'effectuer la tche suivante.
Remarque :
Cette action ne peut s'effectuer que sur un systme ABAP SAP.
1. Connectez-vous au systme SAP ABAP BW l'aide de l'interface utilisateur SAP.
Remarque :
Vous devez vous connecter en tant qu'utilisateur possdant des droits d'administrateur.
2. Excutez STRUSTSSO2 dans l'interface utilisateur SAP.
Le systme est prt pour l'importation du fichier de certificat.
3. Accdez l'onglet Certificat.
4. Assurez-vous que la case Utiliser l'option binaire est coche.
5. Cliquez sur le bouton du chemin du fichier pour accder l'emplacement o se trouve le fichier du
certificat.
6. Cliquez sur la coche verte.
Le fichier de certificat est tlcharg.
7. Cliquez sur Ajouter la liste de certificats.
Le certificat est affich dans la liste de certificats.
8. Cliquez sur Ajouter ACL et spcifiez un ID systme et un client.
L'ID systme doit tre celui utilis pour identifier le systme de la plateforme de BI dans SAP BW.
Le certificat est ajout la liste de contrle d'accs (ACL). Le client doit tre spcifi comme suit :
000.
9. Enregistrez vos paramtres et quittez.
Les modifications sont enregistres dans le systme SAP.
2012-05-10 327
Authentification
8.5.7.4 Configuration de la connexion unique la base de donnes SAP dans la
CMC
Pour appliquer la procdure suivante, vous devez accder au plug-in de scurit SAP l'aide d'un
compte administrateur.
1. Accdez la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
Si aucun certificat n'a t import, le message suivant doit s'afficher dans la section "Service de
connexion unique SAP" :
Aucun fichier de stockage de cls n'a t tlcharg
3. Spcifiez l'ID systme de votre systme de la plateforme de BI dans le champ prvu.
Il doit tre identique la valeur utilise pour importer le certificat dans le systme ABAP SAP cible.
4. Cliquez sur le bouton Parcourir pour localiser le fichier de stockage de cls.
5. Fournissez les dtails obligatoires suivants :
Informations requises Champ
Fournissez le mot de passe requis pour accder au fichier de stockage de
cls. Ce mot de passe a t spcifi lors de la cration du fichier de sto-
ckage de cls.
"Mot de passe du sto-
ckage de cls"
Fournissez le mot de passe requis pour accder au certificat correspondant
au fichier de stockage de cls. Ce mot de passe a t spcifi lors de la
cration du certificat du fichier de stockage de cls.
"Mot de passe de la
cl prive"
Fournissez l'alias requis pour accder au fichier de stockage de cls. Cet
alias a t spcifi lors de la cration du fichier de stockage de cls.
"Alias de cl prive"
6. Cliquez sur Mettre jour pour soumettre vos paramtres.
Une fois que les paramtres ont bien t soumis, le message suivant s'affiche sous le champ ID
systme :
Le fichier de stockage de cls a t tlcharg
8.5.7.5 Ajout du service de jetons de scurit au serveur de traitement adaptatif
Dans un environnement en cluster, les services de jetons de scurit sont ajouts sparment chaque
serveur de traitement adaptatif.
1. Accdez la zone de gestion "Serveurs" de la CMC.
2012-05-10 328
Authentification
2. Cliquez deux fois sur Services principaux.
Une liste de serveurs s'affiche sous "Services principaux".
3. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et slectionnez Arrter le serveur.
Ne continuez pas tant que l'tat du serveur n'est pas "Arrt".
4. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et slectionnez Slectionner des
services.
La bote de dialogue "Slectionner des services" s'affiche.
5. Dplacez le service de jetons de scurit de la liste "Services disponibles" la liste "Services".
Utilisez le bouton Ajouter pour dplacer la slection.
6. Cliquez sur OK.
7. Redmarrez le serveur de traitement adaptatif.
8.5.8 Configuration de la connexion unique pour SAP Crystal Reports et SAP
NetWeaver
Par dfaut, la plateforme de BI est configure pour permettre aux utilisateurs de SAP Crystal Reports
d'accder aux donnes SAP l'aide de la connexion unique.
8.5.8.1 Pour dsactiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Slectionnez l'un des deux pilotes suivants :
Nom affich Pilote
crdb_ods Pilote du magasin de donnes oprationnelles
crdb_opensql pilote Open SQL
crdb_infoset Pilote InfoSet
crdb_bwmdx pilote BW MDX Query
5. Cliquez sur Supprimer.
2012-05-10 329
Authentification
6. Cliquez sur Enregistrer et fermer.
7. Redmarrez SAP Crystal Reports.
8.5.8.2 Pour ractiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
Pour ractiver la connexion unique pour SAP NetWeaver (ABAP) et SAP Crystal Reports, procdez
comme suit.
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sous "Utiliser le contexte de connexion unique pour se connecter la base de donnes", saisissez :
Pour activer le pilote ODS crdb_ods
Pour activer le pilote Open SQL crdb_opensql
Pour activer le pilote SAP BW MDX Query crdb_bwmdx
Pour activer le pilote InfoSet crdb_infoset
5. Cliquez sur Ajouter.
6. Cliquez sur Enregistrer et fermer.
7. Redmarrez SAP Crystal Reports.
8.6 Authentification PeopleSoft
8.6.1 Prsentation
Pour utiliser vos donnes PeopleSoft Enterprise avec la plateforme de BI, vous devez fournir au
programme les informations sur votre dploiement. Ces informations permettent la plateforme de BI
d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs rfrences de connexion PeopleSoft pour
se connecter au programme.
2012-05-10 330
Authentification
8.6.2 Activation de l'authentification PeopleSoft Enterprise
Pour que les informations de PeopleSoft Enterprise puissent tre utilises par la plateforme de BI, la
plateforme de BI a besoin d'informations sur le mode d'authentification dans votre systme PeopleSoft
Enterprise.
8.6.2.1 Pour activer l'authentification PeopleSoft Enterprise dans la plateforme
de BI
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone Grer, cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
La page "PeopleSoft Enterprise" s'affiche. Elle comporte quatre onglets : Options, Domaines,
Rles et Mise jour de l'utilisateur.
4. Dans l'onglet Options, cochez la case Activer l'authentification PeopleSoft Enterprise.
5. Effectuez les modifications appropries dans les champs Nouvel alias, Options de mise jour et
Options de nouvel utilisateur en fonction de votre dploiement de plateforme de BI. Cliquez sur
Mettre jour pour enregistrer vos modifications avant de passer l'onglet Systmes.
6. Cliquez sur l'onglet Servers (Serveurs).
7. Dans la zone "Utilisateur systme PeopleSoft Enterprise", saisissez un nom d'utilisateur et un mot
de passe de base de donnes qui seront utiliss par la plateforme de BI pour se connecter votre
base de donnes PeopleSoft Enterprise.
8. Dans la zone "Domaine PeopleSoft Enterprise", saisissez le nom de domaine et l'adresse QAS
utiliss pour se connecter votre environnement PeopleSoft Enterprise, puis cliquez sur Ajouter.
Remarque :
Si vous disposez de plusieurs domaines PeopleSoft, rptez cette tape pour chaque domaine
supplmentaire auquel vous souhaitez accder. Le premier domaine que vous saisissez deviendra
le domaine par dfaut.
9. Cliquez sur Mettre jour pour enregistrer les modifications.
8.6.3 Mappage de rles PeopleSoft la plateforme de BI
La plateforme de BI cre automatiquement un groupe pour chaque rle PeopleSoft que vous mappez.
De mme, le programme cre des alias pour reprsenter les membres des rles PeopleSoft mapps.
2012-05-10 331
Authentification
Vous pouvez crer un compte utilisateur pour chaque alias cr.
Cependant, si vous excutez plusieurs systmes et que vos utilisateurs possdent des comptes sur
plusieurs systmes, vous pouvez affecter chaque utilisateur un alias avec le mme nom avant de
crer les comptes sur la plateforme de BI.
Cela permet de rduire le nombre de comptes crs pour un mme utilisateur sur la plateforme de BI.
Par exemple, si vous excutez PeopleSoft HR 8.3 et PeopleSoft Financials 8.4, et que 30 de vos
utilisateurs ont accs aux deux systmes, 30 comptes seulement sont crs pour ces utilisateurs. Si
vous choisissez de ne pas affecter chaque utilisateur un alias avec le mme nom, 60 comptes sont
crs pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous excutez plusieurs systmes et que les noms d'utilisateurs identiques crent des
conflits, vous devez crer un compte de membre pour chaque alias cr.
Par exemple, si vous excutez PeopleSoft HR8.3 avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous excutez PeopleSoft Financials 8.4 avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez crer un compte distinct pour l'alias de chaque
utilisateur. Sinon, les deux utilisateurs sont ajouts au mme compte de la plateforme de BI. Ils pourront
se connecter la plateforme de BI avec leurs propres rfrences de connexion PeopleSoft et auront
accs aux donnes des deux systmes PeopleSoft.
8.6.3.1 Pour mapper un rle PeopleSoft la plateforme de BI
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
4. Dans l'onglet Rles, dans la zone Domaines PeopleSoft Enterprise, slectionnez le domaine associ
au rle mapper la plateforme de BI.
5. Utilisez l'une des options suivantes pour slectionner les rles que vous souhaitez mapper :
Dans la zone Rles PeopleSoft Enterprise, dans la zone Rechercher des rles, saisissez le rle
que vous souhaitez localiser et mapper la plateforme de BI, puis cliquez sur >.
Dans la liste "Rles disponibles", slectionnez le rle mapper la plateforme de BI, puis cliquez
sur >.
Remarque :
Lorsque vous recherchez un utilisateur ou un rle particulier, vous pouvez utiliser le caractre
gnrique %. Par exemple, pour rechercher tous les rles commenant par "A", saisissez A%.
La recherche respecte galement la casse.
Si vous voulez mapper un rle d'un autre domaine, vous devez slectionner le nouveau domaine
dans la liste des domaines disponibles pour mettre en correspondance un rle d'un autre domaine.
6. Pour excuter la synchronisation des groupes et des utilisateurs entre la plateforme de BI et
PeopleSoft, cochez la case Forcer la synchronisation utilisateur. Pour supprimer de la plateforme
2012-05-10 332
Authentification
de BI les groupes PeopleSoft dj imports, ne cochez pas la case Forcer la synchronisation
utilisateur.
7. Dans la zone "Options de nouvel alias", slectionnez l'une des options suivantes :
Affecter chaque alias ajout un compte portant le mme nom
Slectionnez cette option si vous excutez plusieurs systmes PeopleSoft Enterprise avec des
utilisateurs possdant des comptes sur plusieurs systmes (et si deux utilisateurs ne possdent
pas des noms identiques sur les diffrents systmes).
Crer un compte pour chaque alias ajout
Slectionnez cette option si vous excutez un seul systme PeopleSoft Enterprise, si la majorit
de vos utilisateurs possdent des comptes sur un seul de vos systmes ou si des noms
d'utilisateurs identiques crent des conflits sur deux de vos systmes ou plus.
8. Dans la zone Options de mise jour, slectionnez l'une des options suivantes :
Les nouveaux alias seront ajouts et les nouveaux utilisateurs seront crs
Slectionnez cette option pour crer un alias pour chaque utilisateur mapp la plateforme de
BI. De nouveaux comptes sont ajouts pour les utilisateurs dpourvus de comptes de la plateforme
de BI ou pour tous les utilisateurs si vous avez slectionn l'option Crer un nouveau compte
pour chaque alias ajout.
Aucun nouvel alias ne sera ajout et les nouveaux utilisateurs ne seront pas crs
Slectionnez cette option si le rle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. La plateforme ne cre pas automatiquement
d'alias ni de comptes pour les utilisateurs. A la place, elle cre des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la premire fois la
plateforme de BI. Il s'agit de l'option par dfaut.
9. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs crs.
Slectionnez l'une des options suivantes :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences Utilisateurs
nomms. Les licences Utilisateur nomm sont associes des utilisateurs particuliers qui peuvent
accder au systme en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nomms peuvent accder au systme, quel que soit le nombre de personnes connectes. Il faut
qu'une licence Utilisateurs nomms soit disponible pour chaque compte d'utilisateur cr l'aide
de cette option.
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Les nouveaux comptes utilisateur sont configurs de manire utiliser des licences d'utilisateurs
simultans. Les licences d'accs simultans spcifient le nombre d'utilisateurs pouvant se
connecter en mme temps la plateforme de BI. Cette licence est tout fait adapte dans la
mesure o elle peut accepter de nombreux utilisateurs. Par exemple, suivant la frquence et la
dure des connexions des utilisateurs la plateforme de BI, une licence pour 100 utilisateurs
simultans peut prendre en charge 250, 500 ou 700 utilisateurs.
2012-05-10 333
Authentification
Les rles que vous avez slectionns apparaissent maintenant sous forme de groupes sur la
plateforme de BI.
8.6.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs un rle dj mapp la plateforme de BI, vous devrez remapper le
rle pour ajouter les utilisateurs la plateforme de BI. Lorsque vous remappez le rle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nomms ou simultans affecte uniquement les nouveaux
utilisateurs que vous avez ajouts au rle.
Par exemple, vous mappez d'abord un rle la plateforme de BI en slectionnant l'option "Les nouveaux
utilisateurs sont crs en tant qu'utilisateurs nomms". Ensuite, vous ajoutez des utilisateurs au mme
rle et remappez le rle en slectionnant l'option "Les nouveaux utilisateurs sont crs en tant
qu'utilisateurs simultans".
Dans ce cas, seuls les nouveaux utilisateurs dans le rle sont mapps la plateforme de BI en tant
qu'utilisateurs simultans ; les utilisateurs qui taient dj mapps demeurent des utilisateurs nomms.
La mme condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultans
et que vous modifiez ensuite les paramtres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nomms.
8.6.3.3 Pour dmapper un rle
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez sur PeopleSoft Enterprise.
4. Cliquez sur Rles.
5. Slectionnez le rle supprimer, puis cliquez sur <.
6. Cliquez sur Mettre jour.
Les membres de ce rle ne pourront plus accder la plateforme de BI, moins de possder
d'autres comptes ou alias.
Remarque :
Vous pouvez galement supprimer des comptes individuels ou retirer des utilisateurs des rles
avant de les mapper la plateforme de BI afin d'empcher certains utilisateurs de se connecter.
2012-05-10 334
Authentification
8.6.4 Planification de mises jour utilisateur
Pour vous assurer que les modifications des donnes utilisateur de votre systme ERPsont correctement
refltes dans les donnes utilisateur de votre plateforme de BI, vous pouvez planifier des mises jour
d'utilisateurs rgulires. Ces mises jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramtres de mappage configurs dans la CMC (Central Management
Console).
Il existe deux options pour l'excution et la planification des mises jour de rles imports :
Mettre jour les rles uniquement : cette option permet de mettre jour uniquement les liens entre
les rles actuellement mapps qui ont t imports dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'excuter des mises jour frquentes et que vous tes proccup par
l'utilisation des ressources systme. Aucun nouveau compte utilisateur ne sera cr si vous effectuez
uniquement une mise jour des rles.
Mettre jour les rles et les alias : cette option permet non seulement de mettre jour les liens
entre les rles, mais aussi de crer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajouts au systme ERP.
Remarque :
Si vous n'avez pas spcifi de crer automatiquement des alias utilisateur pour les mises jour lors
de l'activation de l'authentification, aucun compte ne sera cr pour les nouveaux alias.
8.6.4.1 Pour planifier des mises jour utilisateur
Aprs avoir mapp les rles dans la plateforme de BI, vous devez indiquer comment le systme doit
les mettre jour.
1. Cliquez sur l'onglet Mise jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre jour les rles uniquement" ou "Mettre jour les
rles et les alias".
Conseil :
Pour excuter une mise jour immdiate, cliquez sur Mettre jour maintenant.
Conseil :
Utilisez l'option "Mettre jour les rles uniquement" si vous souhaitez effectuer des mises jour
frquentes et que vous tes proccup par les ressources systme. Le systme met plus de temps
mettre jour la fois les rles et les alias.
La bote de dialogue "Priodicit" s'affiche.
3. Slectionnez une option dans la liste "Excuter l'objet" et indiquez toutes les informations de
planification demandes.
2012-05-10 335
Authentification
Lorsque vous planifiez une mise jour, vous pouvez choisir une des priodicits rcapitules dans
le tableau suivant :
Description Priodicit
La mise jour s'excutera toutes les heures. Vous pouvez
spcifier l'heure laquelle l'excution dmarrera, de mme que
sa date de dbut et sa date de fin.
Toutes les heures
La mise jour s'excutera tous les jours ou tous les N jours.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les jours
La mise jour s'excutera toutes les semaines. Elle peut tre
excute une ou plusieurs fois par semaine. Vous pouvez
prciser les jours et l'heure auxquels l'excution doit avoir lieu,
ainsi qu'une date de dbut et une date de fin.
Toutes les semaines
La mise jour s'excutera tous les mois ou tous les N mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les mois
La mise jour sera excute un jour spcifique du mois. Vous
pouvez prciser le jour du mois et l'heure auxquels l'excution
aura lieu, ainsi que sa date de dbut et sa date de fin.
Nime jour du mois
La mise jour sera excute le premier lundi de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
1er lundi du mois
La mise jour sera excute le dernier jour de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Dernier jour du mois
La mise jour sera excute le jour indiqu de la semaine in-
dique du mois. Vous pouvez prciser l'heure laquelle l'ex-
cution aura lieu, de mme que sa date de dbut et sa date de
fin.
Jour X de la Nime semaine du
mois
La mise jour s'excutera aux dates spcifies dans un calen-
drier prcdemment cr.
Calendrier
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise jour de rles planifie est affiche dans l'onglet Mise jour de
l'utilisateur.
Remarque :
Vous pouvez annuler tout moment la prochaine mise jour planifie en cliquant sur Annuler les
mises jour planifies dans les sections "Mettre jour les rles uniquement" ou "Mettre jour les
rles et les alias".
2012-05-10 336
Authentification
8.6.5 Utilisation de la passerelle de scurit PeopleSoft
La fonction Passerelle de scurit de la plateforme de BI permet d'importer les paramtres de scurit
PeopleSoft EPM dans la plateforme de BI.
Cette fonction opre dans deux modes :
Mode Configuration
En mode Configuration, la passerelle de scurit fournit une interface qui permet de crer un fichier
rponse. Ce fichier rponse rgit le comportement de la passerelle de scurit en mode Excution.
Mode Excution
Selon les paramtres que vous dfinissez dans le fichier rponse, la passerelle de scurit importe
les paramtres de scurit des tables de dimensions de PeopleSoft EPM dans les univers de la
plateforme de BI.
8.6.5.1 Importation des paramtres de scurit
Pour importer les paramtres de scurit, vous devez effectuer les tches suivantes en respectant
l'ordre donn :
Dfinissez les objets qui seront grs par la passerelle de scurit.
Crez un fichier de rponse.
Excutez la passerelle de scurit.
Pour en savoir plus sur la gestion de la scurit aprs avoir import les paramtres, voir la section
Gestion des paramtres de scurit.
8.6.5.1.1 Dfinition d'objets grs
Avant d'excuter la passerelle de scurit, il est important de dterminer les objets grs par l'application.
La passerelle de scurit gre un ou plusieurs rles PeopleSoft, un groupe Plateforme de BI et un ou
plusieurs univers.
Rles PeopleSoft grs
Il s'agit de rles du systme PeopleSoft. Les membres de ces rles travaillent avec des donnes
PeopleSoft via PeopleSoft EPM. Vous devez choisir les rles qui incluent les membres auxquels
vous souhaitez fournir des droits d'accs aux univers grs dans la plateforme de BI ou pour lesquels
vous souhaitez mettre jour ces droits.
2012-05-10 337
Authentification
Les droits d'accs dfinis pour les membres de ces rles dpendent de leurs droits dans
PeopleSoft EPM. La passerelle de scurit importe ces paramtres de scurit dans la plateforme
de BI.
Groupe Plateforme de BI gr
Lorsque vous excutez la passerelle de scurit, le programme cre un utilisateur dans la plateforme
de BI pour chaque membre d'un rle PeopleSoft gr.
Le groupe dans lequel les utilisateurs sont crs est le groupe Plateforme de BI gr. Les membres
de ce groupe sont les utilisateurs dont les droits d'accs aux univers grs sont grs par la passerelle
de scurit. Les utilisateurs tant crs dans un seul groupe, vous pouvez configurer la passerelle
de scurit de sorte qu'elle ne mette pas jour les paramtres de scurit de certains utilisateurs
en supprimant simplement des utilisateurs du groupe Plateforme de BI gr.
Avant d'excuter la passerelle de scurit, vous devez choisir dans la plateforme de BI le groupe
dans lequel les utilisateurs seront crs. Si vous spcifiez un groupe qui n'existe pas, la passerelle
de scurit cre le groupe dans la plateforme de BI.
Univers grs
Les univers grs sont les univers dans lesquels la passerelle de scurit importe les paramtres
de scurit de PeopleSoft EPM. Vous devez choisir, dans les univers stocks dans votre systme
de plateforme de BI, ceux qui seront grs par la passerelle de scurit. Les membres de rles
PeopleSoft grs qui sont galement membres du groupe Plateforme de BI gr ne peuvent accder
aucune donne via les univers auxquels ils n'ont pas accs depuis PeopleSoft EPM.
8.6.5.1.2 Pour crer un fichier de rponse
1. Accdez au dossier que vous avez indiqu durant l'installation de la passerelle de scurit et excutez
le fichier crpsepmsecuritybridge.bat (sous Windows) et crpsempsecuritybridge.sh
(sous Unix).
Remarque :
Sous Windows, cet emplacement est par dfaut C:\Program Files\Business
Objects\BusinessObjects 12.0 Integration Kit for PeopleSoft\epm
La bote de dialogue Passerelle de scurit pour PeopleSoft EPM apparat.
2. Slectionnez Nouveau pour crer un fichier rponse, ou slectionnez Ouvrir et cliquez sur Parcourir
pour spcifier le fichier rponse que vous souhaitez modifier. Slectionnez la langue que vous
souhaitez pour le fichier.
3. Cliquez sur Suivant.
4. Indiquez les emplacements du SDK PeopleSoft EPM et du SDK Plateforme de BI.
Remarque :
Le SDK PeopleSoft EPM se trouve gnralement sur le serveur PeopleSoft dans
<PS_HOME>/class/com.peoplesoft.epm.pf.jar.
Le SDK Plateforme de BI se trouve gnralement dans C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\java\lib.
5. Cliquez sur Suivant.
2012-05-10 338
Authentification
La bote de dialogue suivante vous invite fournir des informations relatives la connexion et au
pilote pour la base de donnes PeopleSoft.
6. Dans la liste de bases de donnes, slectionnez le type de base de donnes appropri et renseignez
les champs suivants :
Description Champ
Le nom de la base de donnes PeopleSoft. Base de donnes
Le nomdu serveur qui hberge la base de don-
nes.
Hte
Le numro de port pour accder au serveur. Numro de port
L'emplacement des fichiers de classe pour le
pilote de base de donnes.
Emplacement de classe
Votre nom d'utilisateur. Nom d'utilisateur
Votre mot de passe. Mot de passe
7. Cliquez sur Suivant.
La bote de dialogue suivante affiche la liste de toutes les classes que la passerelle de scurit
utilisera pour l'excution. Si ncessaire, vous pouvez ajouter des classes dans la liste ou en
supprimer.
8. Cliquez sur Suivant.
La bote de dialogue suivante vous invite fournir les informations de connexion la plateforme de
BI.
9. Indiquez les informations appropries pour les champs suivants :
Description Champ
Le nom du serveur sur lequel est situ le CMS
(Central Management Server).
Serveur
Votre nom d'utilisateur. Nom d'utilisateur
2012-05-10 339
Authentification
Description Champ
Votre mot de passe. Mot de passe
Votre type d'authentification. Authentification
10. Cliquez sur Suivant.
11. Choisissez un groupe de la plateforme de BI, puis cliquez sur Suivant.
Remarque :
Le groupe que vous spcifiez dans ce champ correspond l'emplacement dans lequel la
passerelle de scurit cre des utilisateurs pour les membres des rles PeopleSoft grs.
Si vous spcifiez un groupe qui n'existe pas encore, il sera cr par la passerelle de scurit.
La bote de dialogue suivante affiche la liste des rles du systme PeopleSoft.
12. Slectionnez l'option Import pour les rles devant tre grs par la passerelle de scurit et cliquez
sur Suivant.
Remarque :
La passerelle de scurit cre un utilisateur dans le groupe Plateforme de BI gr (spcifi l'tape
prcdente) pour chaque membre des rles que vous slectionnez.
La bote de dialogue suivante affiche la liste des univers dans la plateforme de BI.
13. Slectionnez les univers dans lesquels la passerelle de scurit doit importer les paramtres de
scurit et cliquez sur Suivant.
14. Spcifiez un nom pour le fichier journal de la passerelle de scurit, ainsi que son emplacement
d'enregistrement. Vous pouvez utiliser ce fichier journal pour vrifier si la passerelle de scurit
importe correctement les paramtres de scurit de PeopleSoft EPM.
15. Cliquez sur Suivant.
La bote de dialogue suivante affiche un aperu du fichier rponse que la passerelle de scurit
utilisera en mode Excution.
16. Cliquez sur Enregistrer, puis choisissez l'emplacement o vous souhaitez enregistrer le fichier
rponse.
17. Cliquez sur Suivant.
La cration du fichier rponse de la passerelle de scurit est prsent termine.
18. Cliquez sur Quitter.
Remarque :
Le fichier rponse est un fichier de proprits Java que vous pouvez galement crer et/ou modifier
manuellement. Pour en savoir plus, voir la section Fichier de rponse PeopleSoft.
2012-05-10 340
Authentification
8.6.5.2 Application des paramtres de scurit
Pour appliquer les paramtres de scurit, excutez le fichier crpsepmsecuritybridge.bat (sous
Windows) ou crpsempsecuritybridge.sh (sous UNIX) et utilisez le fichier rponse que vous
avez cr en tant qu'argument. (Par exemple, tapez crpsepmsecuritybridge.bat (Windows) ou
crpsempsecuritybridge.sh (unix) myresponsefile.properties.)
La passerelle de scurit est en cours d'excution. Elle cre des utilisateurs dans la Plateforme de BI
pour les membres des rles PeopleSoft spcifis dans le fichier rponse et importe les paramtres de
scurit de PeopleSoft EPM dans les univers appropris.
8.6.5.2.1 Remarques sur le mappage
Pendant l'excution, la passerelle de scurit cre un utilisateur dans la plateforme de BI pour chaque
membre d'un rle PeopleSoft gr.
Les utilisateurs sont crs de telle sorte qu'ils n'aient qu'un alias d'authentification Entreprise et des
mots de passe alatoires leur sont attribus par la plateforme de BI. Les utilisateurs ne peuvent donc
pas se connecter la plateforme de BI tant que l'administrateur ne rattribue pas manuellement de
nouveaux mots de passe ou qu'il ne mappe pas les rles ceux de la plateforme de BI via le plug-in
de scurit PeopleSoft afin de permettre aux utilisateurs de se connecter l'aide de leurs rfrences
de connexion PeopleSoft.
8.6.5.3 Gestion des paramtres de scurit
Vous pouvez grer les paramtres de scurit que vous avez appliqus en modifiant les objets grs
par la passerelle de scurit.
8.6.5.3.1 Utilisateurs grs
La passerelle de scurit gre les utilisateurs en fonction des critres suivants :
Appartenance ou non de l'utilisateur un rle PeopleSoft gr.
Appartenance ou non de l'utilisateur au groupe Plateforme de BI gr.
Si vous souhaitez permettre un utilisateur d'accder aux donnes PeopleSoft par l'intermdiaire
d'univers dans la plateforme de BI, assurez-vous que l'utilisateur est un membre, la fois, d'un rle
PeopleSoft gr et du groupe Plateforme de BI gr.
Pour les membres de rles PeopleSoft grs n'ayant pas de comptes dans la plateforme de BI, la
passerelle de scurit cre des comptes et leur attribue des mots de passe alatoires. L'administrateur
doit dcider s'il raffecte ou non manuellement de nouveaux mots de passe ou s'il mappe les rles
2012-05-10 341
Authentification
avec ceux de la plateforme de BI par l'intermdiaire du plug-in de scurit PeopleSoft afin de
permettre aux utilisateurs de se connecter la plateforme de BI.
Pour les membres de rles PeopleSoft grs qui sont galement membres du groupe Plateforme
de BI gr, la passerelle de scurit met jour les paramtres de scurit qui sont appliqus aux
utilisateurs afin qu'ils aient accs aux donnes appropries partir des univers grs.
Si un membre d'un rle PeopleSoft gr dispose d'un compte existant dans la plateforme de BI, mais
qu'il n'est pas membre du groupe Plateforme de Business Intelligence gr, la passerelle de scurit
ne met pas jour les paramtres de scurit appliqus cet utilisateur. En gnral, cette situation se
produit uniquement lorsque l'administrateur supprime manuellement des comptes utilisateur qui ont
t crs par la passerelle de scurit partir du groupe Plateforme de BI gr.
Remarque :
Cette mthode permet de mieux grer la scurit : en supprimant des utilisateurs du groupe Plateforme
de BI gr, vous pouvez configurer leurs paramtres de scurit afin qu'ils soient diffrents de ceux
qu'ils utilisent dans PeopleSoft.
Inversement, si un membre du groupe Plateforme de BI gr n'est pas membre d'un rle PeopleSoft
gr, la passerelle de scurit ne lui permet pas d'accder aux univers grs. En gnral, cette situation
se produit uniquement lorsque les administrateurs PeopleSoft suppriment des utilisateurs ayant
prcdemment t mapps la plateforme de BI par la passerelle de scurit partir des rles
PeopleSoft grs.
Remarque :
Il s'agit l d'une autre mthode de gestion de la scurit : en supprimant des utilisateurs des rles
PeopleSoft grs, vous faites en sorte que les utilisateurs n'aient pas accs aux donnes PeopleSoft.
8.6.5.3.2 Univers grs
La passerelle de scurit gre des univers via des ensembles de restrictions qui limitent les donnes
auxquelles les utilisateurs grs peuvent accder partir des univers grs.
Ces ensembles sont des groupes de restrictions (par exemple, restrictions relatives aux commandes
de requtes, la gnration du SQL, etc.). La passerelle de scurit applique et met jour les restrictions
d'accs la ligne et aux objets des univers grs :
Les restrictions d'accs la ligne sont appliques aux tables de dimensions dfinies dans
PeopleSoft EPM. Ces restrictions sont spcifiques l'utilisateur et peuvent tre configures de l'une
des faons suivantes :
L'utilisateur a accs toutes les donnes.
L'utilisateur n'a accs aucune donne.
Les utilisateurs ont accs aux donnes en fonction de leurs droits au niveau de la ligne dans
PeopleSoft, lesquels sont exposs via les tables de jointure de scurit (SJT, Security Join
Tables) dfinies dans PeopleSoft EPM.
Les restrictions Accs l'objet sont appliques aux objets de type indicateur en fonction des champs
auxquels ces indicateurs ont accs.
2012-05-10 342
Authentification
Si un indicateur accde des champs dfinis comme mtriques dans PeopleSoft, l'accs l'indicateur
est alors autoris/refus selon que l'utilisateur peut ou ne peut pas accder aux mtriques rfrences
dans PeopleSoft. Si un utilisateur ne peut accder aucune mtrique, l'accs l'indicateur est
refus. Si l'utilisateur peut accder toutes les mtriques, l'accs l'indicateur est alors accord.
En tant qu'administrateur, vous pouvez galement restreindre les donnes auxquelles les utilisateurs
ont accs partir du systme PeopleSoft en limitant le nombre d'univers grs par la passerelle de
scurit.
8.6.5.4 Fichier de rponse PeopleSoft
La fonction Passerelle de scurit de la plateforme de BI fonctionne selon les paramtres que vous
spcifiez dans un fichier rponse.
Gnralement, vous gnrez le fichier rponse l'aide de l'interface fournie par la passerelle de scurit
en mode Configuration. Toutefois, le fichier tant un fichier de proprits Java, vous pouvez galement
le crer ou le modifier manuellement.
Cette annexe fournit des informations sur les paramtres que vous devez inclure dans le fichier rponse
si vous choisissez de le gnrer manuellement.
Remarque :
Lorsque vous crez le fichier, vous devez respecter les consignes relatives aux squences
d'chappement du fichier de proprits Java (par exemple, le signe ':' correspond '\:')
8.6.5.4.1 Paramtres du fichier de rponse
Le tableau suivant dcrit les paramtres inclus dans le fichier rponse :
Description Paramtre
Le chemin de classes pour le chargement des fi-
chiers .jar ncessaires. Lorsqu'il y a plusieurs
chemins de classes, ceux-ci doivent tre spars
par le signe ';' la fois sous Windows et UNIX.
Les chemins de classes requis sont pour le fichier
com.peoplesoft.epm.pf.jar et les fi-
chiers .jar du pilote JDBC(Java Database Conne-
ctivity).
classpath
2012-05-10 343
Authentification
Description Paramtre
Le nom du pilote JDBC utilis pour se connecter
la base de donnes PeopleSoft (par exemple,
com.microsoft.jdbc.sqlserver.SQLServerDriver).
db.driver.name
La chane de connexion JDBC utilise pour se
connecter la base de donnes PeopleSoft (par
exemple, jdbc:microsoft:sqlserver://vanrdp
sft01:1433;DatabaseName=PRDMO).
db.connect.str
Le nom d'utilisateur utilis pour se connecter la
base de donnes PeopleSoft.
db.user.name
Le mot de passe utilis pour se connecter la
base de donnes PeopleSoft.
db.password
La valeur de ce paramtre permet de dterminer
si le mot de passe dans le fichier rponse est
chiffr. La valeur peut tre dfinie sur True ou
False. (Si aucune valeur n'est spcifie, le para-
mtre prend la valeur False par dfaut.)
db.password.encrypted
Le CMS (Crystal Management Server) dans le-
quel se trouvent les univers.
enterprise.cms.name
Le nom d'utilisateur utilis pour se connecter au
CMS.
enterprise.user.name
Le mot de passe utilis pour se connecter au
CMS.
enterprise.password
La valeur de ce paramtre permet de dterminer
si le mot de passe dans le fichier rponse est
chiffr. La valeur peut tre dfinie sur True ou
False. (Si aucune valeur n'est spcifie, le para-
mtre prend la valeur False par dfaut.)
enterprise.password.encrypted
La mthode d'authentification permettant de se
connecter au CMS.
enterprise.authMethod
2012-05-10 344
Authentification
Description Paramtre
Le groupe Plateforme de BI gr. Pour en savoir
plus, voir Dfinition d'objets grs.
enterprise.role
Contrle le type de licence lors de l'importation
d'utilisateurs depuis PeopleSoft. 0 dfinit la lice-
nce Utilisateur nomm, 1 la licence Utilisateur
Simultan.
enterprise.license
La liste de rles PeopleSoft grs. Pour en savoir
plus, voir Dfinition d'objets grs.
n est un entier, et chaque entre occupe une
proprit avec le prfixe peoplesoft.role.
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les rles PeopleSoft disponibles, tant entendu
que n correspond 1, et qu'il s'agit de la seule
proprit ayant le prfixe peoplesoft.role dans le
fichier rponse.
peoplesoft.role.n
La liste des univers que la passerelle de scurit
doit mettre jour. Pour en savoir plus, voir Dfini-
tion d'objets grs.
n est un entier, et chaque entre occupe une
proprit avec le prfixe mapped.universe.
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les univers disponibles, tant entendu que n cor-
respond 1, et qu'il s'agit de la seule proprit
ayant le prfixe mapped.universe dans le fichier
rponse.
mapped.universe.n
Fichier journal enregistr par la passerelle de
scurit.
log4j.appender.file.File
2012-05-10 345
Authentification
Description Paramtre
Proprits log4j par dfaut requises pour que
log4j puisse fonctionner correctement :
log4j.rootLogger=INFO, file, stdout
log4j.appender.file=org.apache.log4j.RollingFile
Appender
log4j.appender.file.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.file.MaxFileSize=5000KB
log4j.appender.file.MaxBackupIndex=100
log4j.appender.file.layout.ConversionPattern=%d
[ %-5] %c{1} - %m%n
log4j.appender.stdout=org.apache.log4j.Conso
leAppender
log4j.appender.stdout.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.stdout.layout.ConversionPat
tern=%d [ %-5 ] %c{1} - %m%n
log4j.*
Chemin de classes des fichiers .jar de l'API (Ap-
plication Programming Interface) PeopleSoft EPM.
Ce paramtre est facultatif.
peoplesoft classpath
Chemin de classes des fichiers .jar du SDK Pla-
teforme de BI.
Ce paramtre est facultatif.
enterprise.classpath
2012-05-10 346
Authentification
Description Paramtre
Type de la base de donnes PeopleSoft. Ce pa-
ramtre peut avoir l'une des valeurs suivantes :
Microsoft SQL Server 2000
Oracle Database 10.1
DB2 UDB 8.2 Fixpack 7
Personnalis
La valeur Personnalis peut tre utilise pour
spcifier des bases de donnes dont le type ou
la version n'est pas reconnu.
Ce paramtre est facultatif.
db.driver.type
Emplacement des fichiers .jar du pilote JDB
SQL Server, l'ordinateur hte SQL Server, le port
SQL Server et le nom de base de donnes
SQL Server.
Ces paramtres peuvent tre utiliss uniquement
si db.driver.type a pour valeur Microsoft
SQL Server 2000.
Ces paramtres sont facultatifs.
sql.db.class.location
sql.db.host
sql.db.port
sql.db.database
Emplacement des fichiers .jar du pilote JDBC
Oracle, l'ordinateur hte hbergeant la base de
donnes Oracle, le port utilis pour la base de
donnes Oracle et la base de donnes Oracle
SID.
Ces paramtres peuvent tre utiliss uniquement
si db.driver.type a pour valeur Oracle Data-
base 10.1.
Ces paramtres sont facultatifs.
oracle.db.class.location
oracle.db.host
oracle.db.port
oracle.db.sid
2012-05-10 347
Authentification
Description Paramtre
Emplacement des fichiers .jar du pilote JDBC
DB2, l'ordinateur hte hbergeant la base de do-
nnes DB2, le port utilis pour la base de don-
nes DB2 et la base de donnes DB2 SID.
Ces paramtres peuvent tre utiliss uniquement
si db.driver.type a pour valeur DB2 UDB 8.2 Fix-
pack 7
Ces paramtres sont facultatifs.
db2.db.class.location
db2.db.host
db2.db.port
db2.db.sid
Emplacement, nom et chane de connexion du
pilote JDBC personnalis.
Ces paramtres peuvent tre utiliss uniquement
si db.driver.type a pour valeur Personnalis.
Ces paramtres sont facultatifs.
custom.db.class.location
custom.db.drivername
custom.db.connectStr
8.7 Authentification JD Edwards
8.7.1 Prsentation gnrale
Pour utiliser vos donnes JD Edwards avec la plateforme de BI, vous devez fournir au systme les
informations concernant votre dploiement JD Edwards. Ces informations permettront la plateforme
de BI d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs rfrences de connexion JD Edwards
EnterpriseOne pour se connecter la plateforme de BI.
8.7.2 Activation de l'authentification JD Edwards EnterpriseOne
2012-05-10 348
Authentification
Pour que les informations de JD Edwards EnterpriseOne puissent tre utilises par la plateforme de
BI, Enterprise a besoin d'informations sur le mode d'authentification dans votre systme JD Edwards
EnterpriseOne.
8.7.2.1 Pour activer l'authentification JD Edwards dans la plateforme de BI
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone Grer, cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
La page "JD Edwards EnterpriseOne" s'affiche. Elle comporte quatre onglets : Options, Serveurs,
Rles et Mise jour de l'utilisateur.
4. Dans l'onglet Options, cochez la case Activer l'authentification JD Edwards EnterpriseOne.
5. Effectuez les modifications appropries dans les champs Nouvel alias, Options de mise jour et
Options de nouvel utilisateur en fonction de votre dploiement de plateforme de BI. Cliquez sur
Mettre jour pour enregistrer vos modifications avant de passer l'onglet Systmes.
6. Cliquez sur l'onglet Servers (Serveurs).
7. Dans la zone "Utilisateur systme JD Edwards EnterpriseOne", saisissez un nom d'utilisateur et un
mot de passe qui seront utiliss par la plateforme de BI pour se connecter votre base de donnes
JD Edwards EnterpriseOne.
8. Dans la zone "Domaine JD Edwards EnterpriseOne", saisissez le nom, l'hte et le port utiliss pour
vous connecter votre environnement JD Edwards EnterpriseOne, saisissez un nom pour
l'environnement et cliquez sur Ajouter.
9. Cliquez sur Mettre jour pour enregistrer les modifications.
8.7.3 Mappage de rles JD Edwards EnterpriseOne la plateforme de BI
La plateforme de BI cre automatiquement un groupe pour chaque rle JD Edwards EnterpriseOne
que vous mappez. De mme, le systme cre des alias pour reprsenter les membres des rles JD
Edwards EnterpriseOne mapps.
Vous pouvez crer un compte utilisateur pour chaque alias cr.
Cependant, si vous excutez plusieurs systmes et que vos utilisateurs possdent des comptes sur
plusieurs systmes, vous pouvez affecter chaque utilisateur un alias avec le mme nom avant de
crer les comptes sur la plateforme de BI.
Cela permet de rduire le nombre de comptes crs pour un mme utilisateur sur la plateforme de BI.
Par exemple, si vous excutez la fois un environnement de test et un environnement de production
JD Edwards EnterpriseOne, et si 30 de vos utilisateurs ont accs aux deux systmes, 30 comptes
2012-05-10 349
Authentification
seulement sont crs pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur
un alias avec le mme nom, 60 comptes sont crs pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous excutez plusieurs systmes et que les noms d'utilisateurs identiques crent des
conflits, vous devez crer un compte de membre pour chaque alias cr.
Par exemple, si vous excutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous excutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez crer un compte distinct
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs sont ajouts au mme compte de la
plateforme de BI. Ils ne pourront pas se connecter la plateforme de BI avec leurs propres rfrences
de connexion JD Edwards EnterpriseOne.
8.7.3.1 Pour mapper un rle JD Edwards EnterpriseOne
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone "Grer", cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
4. Dans la zone Options de nouvel alias, slectionnez l'une des options suivantes :
Affecter chaque alias ajout un compte portant le mme nom
Slectionnez cette option si vous excutez plusieurs systmes JD Edwards EnterpriseOne avec
des utilisateurs possdant des comptes sur plusieurs systmes (et si deux utilisateurs ne
possdent pas des noms identiques sur les diffrents systmes).
Crer un compte pour chaque alias ajout
Slectionnez cette option si vous excutez un seul systme JDEdwards EnterpriseOne Enterprise,
si la majorit de vos utilisateurs possdent des comptes sur un seul de vos systmes ou si des
noms d'utilisateurs identiques crent des conflits sur deux de vos systmes ou plus.
5. Dans la zone Options de mise jour, slectionnez l'une des options suivantes :
Les nouveaux alias seront ajouts et les nouveaux utilisateurs seront crs
Slectionnez cette option pour crer un nouvel alias pour chaque utilisateur mapp la plateforme
de BI. De nouveaux comptes sont ajouts pour les utilisateurs dpourvus de compte plateforme
de BI ou pour tous les utilisateurs si vous avez slectionn l'option Crer un nouveau compte
pour chaque alias ajout.
Aucun nouvel alias ne sera ajout et les nouveaux utilisateurs ne seront pas crs
Slectionnez cette option si le rle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le systme ne cre pas automatiquement
d'alias ni de comptes pour les utilisateurs. Il cre plutt des alias (et des comptes, si besoin)
uniquement pour les utilisateurs lorsqu'ils se connectent pour la premire fois la plateforme de
BI. Il s'agit de l'option par dfaut.
2012-05-10 350
Authentification
6. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs crs.
Slectionnez l'une des options suivantes :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences Utilisateurs
nomms. Les licences Utilisateur nomm sont associes des utilisateurs particuliers qui peuvent
accder au systme en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nomms peuvent accder au systme, quel que soit le nombre de personnes connectes. Il faut
qu'une licence Utilisateurs nomms soit disponible pour chaque compte d'utilisateur cr l'aide
de cette option.
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Les nouveaux comptes utilisateur sont configurs de manire utiliser des licences d'utilisateurs
simultans. Les licences d'accs simultans spcifient le nombre d'utilisateurs pouvant se
connecter en mme temps la plateforme de BI. Cette licence est tout fait adapte dans la
mesure o elle peut accepter de nombreux utilisateurs. Par exemple, suivant la frquence et la
dure des connexions des utilisateurs la plateforme de BI, une licence pour 100 utilisateurs
simultans peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rles que vous avez slectionns apparaissent maintenant sous forme de groupes dans la
plateforme de BI.
7. Cliquez sur l'onglet Rles.
8. Dans la zone Slectionnez un serveur, slectionnez le serveur JD Edwards qui contient les rles
mapper.
9. Dans la zone "Rles imports", slectionnez les rles que vous voulez mapper la plateforme de
BI et cliquez sur >.
10. Cliquez sur Mettre jour.
Les rles seront mapps la plateforme de BI.
8.7.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs un rle dj mapp la plateforme de BI, vous devrez remapper le
rle pour ajouter les utilisateurs la plateforme de BI. Lorsque vous remappez le rle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nomms ou simultans affecte uniquement les nouveaux
utilisateurs que vous avez ajouts au rle.
Par exemple, vous mappez d'abord un rle la plateforme de BI en slectionnant l'option "Les nouveaux
utilisateurs sont crs en tant qu'utilisateurs nomms". Ensuite, vous ajoutez des utilisateurs au mme
rle et remappez le rle en slectionnant l'option "Les nouveaux utilisateurs sont crs en tant
qu'utilisateurs simultans".
Dans ce cas, seuls les nouveaux utilisateurs dans le rle sont mapps la plateforme de BI en tant
qu'utilisateurs simultans ; les utilisateurs qui taient dj mapps demeurent des utilisateurs nomms.
La mme condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultans
2012-05-10 351
Authentification
et que vous modifiez ensuite les paramtres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nomms.
8.7.3.3 Pour dmapper un rle
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone "Grer", cliquez sur Authentification.
3. Cliquez sur l'onglet correspondant JD Edwards EnterpriseOne.
4. Dans la zone "Rles", slectionnez le rle que vous souhaitez supprimer, puis cliquez sur <.
5. Cliquez sur Mettre jour.
Les membres de ce rle ne pourront plus accder la plateforme de BI, moins de possder
d'autres comptes ou alias.
Remarque :
Vous pouvez galement supprimer des comptes individuels ou retirer des utilisateurs des rles
avant de les mapper la plateforme de BI afin d'empcher certains utilisateurs de se connecter.
8.7.4 Planification de mises jour utilisateur
Pour vous assurer que les modifications des donnes utilisateur de votre systme ERPsont correctement
refltes dans les donnes utilisateur de votre plateforme de BI, vous pouvez planifier des mises jour
d'utilisateurs rgulires. Ces mises jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramtres de mappage configurs dans la CMC (Central Management
Console).
Il existe deux options pour l'excution et la planification des mises jour de rles imports :
Mettre jour les rles uniquement : cette option permet de mettre jour uniquement les liens entre
les rles actuellement mapps qui ont t imports dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'excuter des mises jour frquentes et que vous tes proccup par
l'utilisation des ressources systme. Aucun nouveau compte utilisateur ne sera cr si vous effectuez
uniquement une mise jour des rles.
Mettre jour les rles et les alias : cette option permet non seulement de mettre jour les liens
entre les rles, mais aussi de crer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajouts au systme ERP.
Remarque :
Si vous n'avez pas spcifi de crer automatiquement des alias utilisateur pour les mises jour lors
de l'activation de l'authentification, aucun compte ne sera cr pour les nouveaux alias.
2012-05-10 352
Authentification
8.7.4.1 Pour planifier des mises jour utilisateur
Aprs avoir mapp les rles dans la plateforme de BI, vous devez indiquer comment le systme doit
les mettre jour.
1. Cliquez sur l'onglet Mise jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre jour les rles uniquement" ou "Mettre jour les
rles et les alias".
Conseil :
Pour excuter une mise jour immdiate, cliquez sur Mettre jour maintenant.
Conseil :
Utilisez l'option "Mettre jour les rles uniquement" si vous souhaitez effectuer des mises jour
frquentes et que vous tes proccup par les ressources systme. Le systme met plus de temps
mettre jour la fois les rles et les alias.
La bote de dialogue "Priodicit" s'affiche.
3. Slectionnez une option dans la liste "Excuter l'objet" et indiquez toutes les informations de
planification demandes.
Lorsque vous planifiez une mise jour, vous pouvez choisir une des priodicits rcapitules dans
le tableau suivant :
Description Priodicit
La mise jour s'excutera toutes les heures. Vous pouvez
spcifier l'heure laquelle l'excution dmarrera, de mme que
sa date de dbut et sa date de fin.
Toutes les heures
La mise jour s'excutera tous les jours ou tous les N jours.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les jours
La mise jour s'excutera toutes les semaines. Elle peut tre
excute une ou plusieurs fois par semaine. Vous pouvez
prciser les jours et l'heure auxquels l'excution doit avoir lieu,
ainsi qu'une date de dbut et une date de fin.
Toutes les semaines
La mise jour s'excutera tous les mois ou tous les N mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Tous les mois
La mise jour sera excute un jour spcifique du mois. Vous
pouvez prciser le jour du mois et l'heure auxquels l'excution
aura lieu, ainsi que sa date de dbut et sa date de fin.
Nime jour du mois
2012-05-10 353
Authentification
Description Priodicit
La mise jour sera excute le premier lundi de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
1er lundi du mois
La mise jour sera excute le dernier jour de chaque mois.
Vous pouvez prciser l'heure laquelle l'excution aura lieu,
de mme que sa date de dbut et sa date de fin.
Dernier jour du mois
La mise jour sera excute le jour indiqu de la semaine in-
dique du mois. Vous pouvez prciser l'heure laquelle l'ex-
cution aura lieu, de mme que sa date de dbut et sa date de
fin.
Jour X de la Nime semaine du
mois
La mise jour s'excutera aux dates spcifies dans un calen-
drier prcdemment cr.
Calendrier
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise jour de rles planifie est affiche dans l'onglet Mise jour de
l'utilisateur.
Remarque :
Vous pouvez annuler tout moment la prochaine mise jour planifie en cliquant sur Annuler les
mises jour planifies dans les sections "Mettre jour les rles uniquement" ou "Mettre jour les
rles et les alias".
8.8 Authentification Siebel
8.8.1 Activation de l'authentification Siebel
Pour que les informations de Siebel puissent tre utilises par la plateforme de BI, des informations
sont ncessaires sur le mode d'authentification dans votre systme Siebel.
8.8.1.1 Pour activer l'authentification Siebel dans la plateforme de BI
2012-05-10 354
Authentification
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone Grer, cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
La page "Siebel" s'affiche. Elle contient quatre onglets : Options, Systmes, Responsabilits et
Mise jour de l'utilisateur.
4. Dans l'onglet Options, slectionnez la case cocher Activer l'authentification Siebel.
5. Effectuez les modifications appropries dans les champs Nouvel alias, Options de mise jour et
Options de nouvel utilisateur en fonction de votre dploiement de plateforme de BI. Cliquez sur
Mettre jour pour enregistrer vos modifications avant de passer l'onglet Systmes.
6. Cliquez sur l'onglet Domaines.
7. Dans le champ Nom de domaine, saisissez le nom de domaine du systme Siebel auquel vous
souhaitez vous connecter.
8. Sous Connexion, saisissez la chane de connexion de ce domaine.
9. Dans la zone Nom d'utilisateur, saisissez un nom d'utilisateur et un mot de passe de base de
donnes qui seront utiliss par la plateforme de BI pour se connecter votre base de donnes
Siebel.
10. Dans la zone Mot de passe, saisissez le mot de passe de l'utilisateur slectionn.
11. Cliquez sur Ajouter pour ajouter les informations systme la liste "Domaines actuels".
12. Cliquez sur Mettre jour pour enregistrer les modifications.
8.8.2 Mappage de rles la plateforme de BI
La plateforme de BI cre automatiquement un groupe pour chaque rle Siebel que vous mappez. De
mme, le programme cre des alias pour reprsenter les membres des rles Siebel mapps.
Vous pouvez crer un compte utilisateur pour chaque alias cr.
Cependant, si vous excutez plusieurs systmes et que vos utilisateurs possdent des comptes sur
plusieurs systmes, vous pouvez affecter chaque utilisateur un alias avec le mme nom avant de
crer les comptes sur la plateforme de BI.
Cela permet de rduire le nombre de comptes crs pour un mme utilisateur dans le programme.
Par exemple, si vous excutez la fois un environnement de test et un environnement de production
Siebel eBusiness et que 30 de vos utilisateurs ont accs aux deux systmes, 30 comptes seulement
sont crs pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur un alias
avec le mme nom, 60 comptes sont crs pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous excutez plusieurs systmes et que les noms d'utilisateurs identiques crent des
conflits, vous devez crer un compte de membre pour chaque alias cr.
Par exemple, si vous excutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous excutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez crer un compte distinct
2012-05-10 355
Authentification
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs seront ajouts au mme compte et ne
pourront pas se connecter la plateforme de BI avec leurs propres rfrences de connexion Siebel
eBusiness.
8.8.2.1 Pour mapper un rle Siebel la plateforme de BI
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur Siebel eBusiness.
4. Dans la zone Options de nouvel alias, slectionnez l'une des options suivantes :
Affecter chaque alias ajout un compte portant le mme nom
Slectionnez cette option si vous excutez plusieurs systmes Siebel eBusiness avec des
utilisateurs possdant des comptes sur plusieurs systmes (les utilisateurs ne possdent pas
de nom identique sur les diffrents systmes).
Crer un compte pour chaque alias ajout
Slectionnez cette option si vous excutez un seul systme Siebel eBusiness, si la plupart de
vos utilisateurs possdent des comptes sur un seul de vos systmes ou si les noms d'utilisateur
sont identiques pour diffrents utilisateurs sur au moins deux de vos systmes.
5. Dans la zone Options de mise jour, slectionnez l'une des options suivantes :
Les nouveaux alias seront ajouts et les nouveaux utilisateurs seront crs
Slectionnez cette option pour crer un alias pour chaque utilisateur mapp la plateforme de
BI. De nouveaux comptes sont ajouts pour les utilisateurs dpourvus de compte plateforme de
BI ou pour tous les utilisateurs si vous avez slectionn l'option Crer un nouveau compte pour
chaque alias ajout.
Aucun nouvel alias ne sera ajout et les nouveaux utilisateurs ne seront pas crs
Slectionnez cette option si le rle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le programme ne cre pas automatiquement
d'alias et de comptes pour les utilisateurs. A la place, elle cre des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la premire fois la
plateforme de BI. Il s'agit de l'option par dfaut.
6. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs crs.
Slectionnez l'une des options suivantes :
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs nomms
Les nouveaux comptes d'utilisateur sont configurs de manire utiliser des licences Utilisateurs
nomms. Les licences Utilisateur nomm sont associes des utilisateurs particuliers qui peuvent
accder au systme en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nomms peuvent accder au systme, quel que soit le nombre de personnes connectes. Il faut
2012-05-10 356
Authentification
qu'une licence Utilisateurs nomms soit disponible pour chaque compte d'utilisateur cr l'aide
de cette option.
Les nouveaux utilisateurs sont crs en tant qu'utilisateurs simultans
Les nouveaux comptes utilisateur sont configurs de manire utiliser des licences d'utilisateurs
simultans. Les licences d'accs simultans spcifient le nombre d'utilisateurs pouvant se
connecter en mme temps la plateforme de BI. Cette licence est tout fait adapte dans la
mesure o elle peut accepter de nombreux utilisateurs. Par exemple, suivant la frquence et la
dure des connexions des utilisateurs la plateforme de BI, une licence pour 100 utilisateurs
simultans peut prendre en charge 250, 500 ou 700 utilisateurs.
7. Cliquez sur l'onglet Rles.
8. Slectionnez le domaine correspondant au serveur Siebel pour lequel vous souhaitez mapper des
rles.
9. Sous "Rles disponibles", slectionnez les rles que vous souhaitez mapper, puis cliquez sur >.
Remarque :
Si vous disposez d'un grand nombre de rles, vous pouvez utiliser le champ Rechercher les rles
commenant par : pour affiner votre recherche. Saisissez les premiers caractres des rles en les
faisant suivre du caractre gnrique (%) et cliquez sur Rechercher.
10. Cliquez sur Mettre jour.
Les rles seront mapps la plateforme de BI.
8.8.2.2 Remarques sur le remappage
Pour appliquer la synchronisation des groupes et des utilisateurs entre la plateforme de BI et Siebel,
activez la case Forcer la synchronisation utilisateur.
Remarque :
Pour pouvoir slectionner Forcer la synchronisation utilisateur, il faut d'abord slectionner Les
nouveaux alias seront ajouts et les nouveaux utilisateurs seront crs.
Lorsque vous remappez le rle, l'option de mappage des utilisateurs en tant qu'utilisateurs nomms
ou simultans affecte uniquement les nouveaux utilisateurs que vous avez ajouts au rle.
Par exemple, vous mappez d'abord un rle la plateforme de BI en slectionnant l'option "Les nouveaux
utilisateurs sont crs en tant qu'utilisateurs nomms". Ensuite, vous ajoutez des utilisateurs au mme
rle et remappez le rle en slectionnant l'option "Les nouveaux utilisateurs sont crs en tant
qu'utilisateurs simultans".
Dans ce cas, seuls les nouveaux utilisateurs dans le rle sont mapps la plateforme de BI en tant
qu'utilisateurs simultans ; les utilisateurs qui taient dj mapps demeurent des utilisateurs nomms.
La mme condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultans
et que vous modifiez ensuite les paramtres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nomms.
2012-05-10 357
Authentification
8.8.2.3 Pour dmapper un rle
1. Connectez-vous en tant qu'administrateur la Central Management Console.
2. Dans la zone "Grer", cliquez sur Authentification.
3.